Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

CVE-2020-11612
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
25/09/2020
Descripción:
El ZlibDecoders en Netty versiones 4.1.x anteriores a 4.1.46, permite una asignación de memoria ilimitada mientras decodifican un flujo de bytes de ZlibEncoded. Un atacante podría enviar una secuencia de bytes de ZlibEncoded grande hacia el servidor de Netty, forzando al servidor a asignar toda su memoria liberada a un único decodificador.
Vulnerabilidad en el archivo xdLocalStoragePostMessageApi.js en la función postData() en xdLocalStorage (CVE-2020-11610)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en xdLocalStorage versiones hasta 2.0.5. La función postData() en el archivo xdLocalStoragePostMessageApi.js especifica el comodín (*) como targetOrigin cuando llama a la función postMessage() en el objeto primario. Por lo tanto, cualquier dominio puede cargar la aplicación que aloja el "magical iframe" y recibe los mensajes que envía el "magical iframe".
Vulnerabilidad en peticiones y respuestas HTTP en la Interfaz de Usuario Web Administrativa en Fortinet FortiSwitch, FortiAnalyzer, FortiManager y FortiAP-S/W2 (CVE-2019-17657)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Una vulnerabilidad de Consumo No Controlado de Recursos en Fortinet FortiSwitch por debajo de las versiones 3.6.11, 6.0.6 y 6.2.2, FortiAnalyzer por debajo de las versiones 6.2.3, FortiManager por debajo de las funciones 6.2.3 y FortiAP-S/W2 por debajo de las versiones 6.2.2, puede permitir a un atacante causar una denegación de servicio (DoS) de la Interfaz de Usuario Web Administrativa mediante el manejo de peticiones y respuestas HTTP especialmente diseñadas en partes lentamente, como es demostrado por los Ataques de DoS de HTTP Lento.
Vulnerabilidad en las contraseñas del controlador en GE Mark VIe Controller (CVE-2019-13559)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
GE Mark VIe Controller es entregado con credenciales preconfiguradas embebidas que pueden permitir el acceso del usuario root hacia el controlador. Una aplicación limitada del producto afectado puede enviarse sin las instrucciones de instalación y configuración disponibles inmediatamente para el usuario final. La mayor parte de los controladores se destinan a aplicaciones que requieren que el ingeniero de puesta en marcha de GE cambie las configuraciones predeterminadas durante el proceso de instalación. GE recomienda que los usuarios restablezcan las contraseñas del controlador durante la instalación en el entorno operativo.
Vulnerabilidad en mensajes web en el archivo xdLocalStorage.js en la función ReceiveMessage() en xdLocalStorage (CVE-2015-9545)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en xdLocalStorage versiones hasta 2.0.5. La función ReceiveMessage() en el archivo xdLocalStorage.js no implementa ninguna comprobación del origen de los mensajes web. Los atacantes remotos que pueden atraer a un usuario a cargar un sitio malicioso pueden explotar este problema para afectar la confidencialidad e integridad de los datos en el almacenamiento local del sitio vulnerable por medio de mensajes web maliciosos.
Vulnerabilidad en el archivo xdLocalStoragePostMessageApi.js en la función ReceiveMessage() en xdLocalStorage (CVE-2015-9544)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en xdLocalStorage versiones hasta 2.0.5. La función ReceiveMessage() en el archivo xdLocalStoragePostMessageApi.js no implementa ninguna comprobación del origen de los mensajes web. Los atacantes remotos que pueden atraer a un usuario a cargar un sitio malicioso pueden explotar este problema para afectar la confidencialidad e integridad de los datos en el almacenamiento local del sitio vulnerable por medio de mensajes web maliciosos.
Vulnerabilidad en el endpoint API REST de rankmath/v1/updateRedirection en el plugin Rank Math para WordPress (CVE-2020-11515)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
El plugin Rank Math versiones hasta 1.0.40.2 para WordPress, permite a atacantes remotos no autenticados crear nuevos URI (que redireccionan a un sitio web externo) por medio del endpoint API REST de rankmath/v1/updateRedirection no seguro. En otras palabras, este no es un problema de "Open Redirect"; sin embargo, le permite al atacante crear un nuevo URI con un nombre arbitrario (por ejemplo, el URI /exampleredirect).
Vulnerabilidad en la acción AJAX de idx_update_recaptcha_key y un parámetro idx_recaptcha_site_key en el panel de configuración del plugin IMPress for IDX Broker WordPress (CVE-2020-11512)
Gravedad:
BajaBaja
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Una vulnerabilidad de tipo XSS almacenado en el plugin IMPress for IDX Broker WordPress versiones anteriores a 2.6.2, permite a atacantes autenticados con permisos mínimos (nivel suscriptor) guardar JavaScript arbitrario en el panel de configuración del plugin por medio de la acción AJAX de idx_update_recaptcha_key y un parámetro idx_recaptcha_site_key diseñado, que luego sería ejecutado en el navegador de cualquier administrador que visite el panel. Esto podría ser usado para crear nuevas cuentas de nivel administrador.
Vulnerabilidad en el endpoint API REST de rankmath/v1/updateMeta en el plugin Rank Math para WordPress (CVE-2020-11514)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
El plugin Rank Math versiones hasta 1.0.40.2 para WordPress, permite a atacantes remotos no autenticados actualizar metadatos de WordPress arbitrarios, incluyendo la capacidad de escalar o revocar privilegios administrativos para los usuarios existentes por medio del endpoint API REST de rankmath/v1/updateMeta no seguro.
Vulnerabilidad en el archivo de configuración en NCH ??Express Invoice (CVE-2020-11560)
Gravedad:
BajaBaja
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
NCH ??Express Invoice versión 7.25, permite a los usuarios locales detectar la contraseña de texto sin cifrar mediante la lectura del archivo de configuración.
Vulnerabilidad en el archivo wrappers.php en create_dynamic_page y delete_dynamic_page en el plugin IMPress for IDX Broker para WordPress (CVE-2020-9514)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en el plugin IMPress for IDX Broker versiones anteriores a 2.6.2 para WordPress. El archivo wrappers.php permite a un usuario registrado (con el rol Suscriptor) eliminar permanentemente publicaciones y páginas arbitrarias, crear nuevas publicaciones con asuntos arbitrarios y modificar los asuntos de las publicaciones y páginas existentes (por medio de create_dynamic_page y delete_dynamic_page).
Vulnerabilidad en el servicio Location en dispositivos móviles Samsung (CVE-2017-18673)
Gravedad:
BajaBaja
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software N(7.x). Un atacante puede deshabilitar el servicio Location en un dispositivo bloqueado, haciendo imposible que el propietario legítimo encuentre un dispositivo robado. El ID de Samsung es SVE-2017-8524 (Mayo de 2017).
Vulnerabilidad en un trustlet en dispositivos móviles Samsung (CVE-2017-18656)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.0) y N(7.x). Se presenta una lectura excesiva del búfer en un trustlet. El ID de Samsung es SVE-2017-8890 (Agosto de 2017).
Vulnerabilidad en Intents en el archivo framework.jar en dispositivos móviles Samsung (CVE-2017-18672)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software L(5.0 / 5.1), M(6.0) y N(7.x). Debido al manejo incorrecto de excepciones para Intents, un atacante local puede forzar un reinicio dentro del archivo framework.jar. El ID de Samsung es SVE-2017-8390 (Mayo de 2017).
Vulnerabilidad en Intents relacionado con Wi-Fi en dispositivos móviles Samsung (CVE-2017-18671)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software L(5.0 / 5.1), M(6.0) y N(7.x). Intents relacionado con Wi-Fi presenta un manejo de excepciones incorrecto, conllevando a un bloqueo de los procesos del sistema. El ID de Samsung es SVE-2017-8389 (Mayo de 2017).
Vulnerabilidad en android.intent.action.SIOP_LEVEL_CHANGED en un intent en dispositivos móviles Samsung (CVE-2017-18670)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0 / 5.1) y M(6.0). android.intent.action.SIOP_LEVEL_CHANGED permite un reinicio de un intent serializable. El ID de Samsung es SVE-2017-8363 (Mayo de 2017).
Vulnerabilidad en Persona en una API dispositivos móviles Samsung (CVE-2017-18669)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software N(7.x). Persona presenta una API desprotegida que permite iniciar cualquier actividad con privilegios system. El ID de Samsung es SVE-2017-9000 (Junio de 2017).
Vulnerabilidad en dispositivos móviles Samsung (CVE-2017-18668)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software M(6.0). Los atacantes pueden impedir que los usuarios hagan llamadas salientes y envíen mensajes de texto salientes. El ID de Samsung es SVE-2017-8706 (Junio de 2017).
Vulnerabilidad en el espacio de almacenamiento de SMS en dispositivos móviles Samsung (CVE-2017-18667)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0 / 5.1), M(6.0) y N(7.x). Los atacantes a partir del aprendizaje pueden impedir a los usuarios que el espacio de almacenamiento de SMS haya sido agotado. El ID de Samsung es SVE-2017-8702 (Junio de 2017).
Vulnerabilidad en mensajes SMS premium en dispositivos móviles Samsung. (CVE-2017-18666)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0 / 5.1), M(6.0) y N(7.x). Las aplicaciones pueden enviar mensajes SMS premium arbitrarios. El ID de Samsung es SVE-2017-8701 (Junio de 2017).
Vulnerabilidad en adb-cmd en WifiService en dispositivos móviles Samsung (CVE-2017-18665)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software M(6.0). Se presenta una excepción de puntero NULL en WifiService por medio de adb-cmd, causando corrupción de la memoria. El ID de Samsung es SVE-2017-8287 (Junio de 2017).
Vulnerabilidad en PersonManager en dispositivos móviles Samsung (CVE-2017-18664)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0 / 5.1) y M(6.0). Se presenta una excepción de puntero NULL en PersonManager, causando corrupción de la memoria. El ID de Samsung es SVE-2017-8286 (Junio de 2017).
Vulnerabilidad en un NullPointerException en system_server en dispositivos móviles Samsung (CVE-2017-18663)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software N(7.x). Debido a una falta de manejo de excepciones de Intent, system_server puede presentar un NullPointerException con un bloqueo de un proceso del sistema. Los ID de Samsung son SVE-2017-9122, SVE-2017-9123, SVE-2017-9124 y SVE-2017-9126 (Julio de 2017).
Vulnerabilidad en el registro rkp en dispositivos móviles Samsung (CVE-2017-18662)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.0) y N(7.x). Los datos fuera del límite del búfer del registro rkp se leen, causando una fuga de información. El ID de Samsung es SVE-2017-9109 (Julio de 2017).
Vulnerabilidad en process_cipher_tdea en dispositivos móviles Samsung (CVE-2017-18661)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.0) y N(7.x). Se presenta un desbordamiento de búfer en process_cipher_tdea. El ID de Samsung es SVE-2017-8973 (Julio de 2017).
Vulnerabilidad en tlc_server en dispositivos móviles Samsung (CVE-2017-18660)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.0) y N(7.x). Se presenta un desbordamiento de búfer en tlc_server. El ID de Samsung es SVE-2017-8888 (Julio de 2017).
Vulnerabilidad en una transmisión a AdaptiveDisplayColorService en dispositivos móviles Samsung (CVE-2017-18659)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0 / 5.1), M(6.0) y N(7.x). Los atacantes pueden bloquear los procesos del sistema por medio de una transmisión a AdaptiveDisplayColorService. El ID de Samsung es SVE-2017-8290 (Julio de 2017).
Vulnerabilidad en la API multiwindow_facade en dispositivos móviles Samsung (CVE-2017-18658)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software M(6.0). La API multiwindow_facade permite a atacantes causar un NullPointerException y detener el sistema mediante un intento de tocar la pantalla de una pantalla no existente. El ID de Samsung es SVE-2017-9383 (agosto de 2017).
Vulnerabilidad en un trustlet en dispositivos móviles Samsung (CVE-2017-18657)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.0) y N(7.x). Se presenta una escritura arbitraria en un trustlet. El ID de Samsung es SVE-2017-8893 (agosto de 2017).
Vulnerabilidad en un objeto serializable en un Intent en la aplicación InputMethod en dispositivos móviles Samsung (CVE-2017-18685)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0 / 5.1) y M(6.0). La aplicación InputMethod puede causar un bloqueo del sistema por medio de un objeto serializable malformado en un Intent. El ID de Samsung es SVE-2016-7123 ??(Febrero de 2017).
Vulnerabilidad en una URL en NCH Express Invoice (CVE-2020-11561)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
En NCH Express Invoice versión 7.25, un usuario autenticado con pocos privilegios puede ingresar una URL diseñada para acceder a funcionalidades con mayores privilegios, tal y como la pantalla "Add New Item".
Vulnerabilidad en HCL AppScan Standard (CVE-2019-4393)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
HCL AppScan Standard es vulnerable a intentos de autorización excesivos.
Vulnerabilidad en procesamiento de datos XML en HCL AppScan Standard (CVE-2019-4391)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
HCL AppScan Standard es vulnerable a un ataque de tipo XML External Entity Injection (XXE) cuando se procesa datos XML.
Vulnerabilidad en TSP sysfs cmd_store en dispositivos móviles Samsung (CVE-2017-18691)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.0) y N(7.0) (chipsets Exynos8890). Se presentan múltiples desbordamientos de búfer en TSP sysfs cmd_store. El ID de Samsung es SVE-2016-7500 (Enero de 2017).
Vulnerabilidad en el sensor hub en dispositivos móviles Samsung (CVE-2017-18690)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0 / 5.1), M(6.0) y N(7.0) (Exynos54xx, Exynos7420, Exynos8890 o Exynos8895). Se presenta un desbordamiento del búfer en el sensor hub. El ID de Samsung es SVE-2016-7484 (Enero de 2017).
Vulnerabilidad en /dev/dsm_ctrl_dev en dispositivos móviles Samsung (CVE-2017-18688)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software L(5.1), M(6.0) y N(7.0). Se presenta una divulgación de información (de ubicaciones de memoria fuera de un búfer) por medio de /dev/dsm_ctrl_dev. El ID de Samsung es SVE-2016-7340 (Enero de 2017).
Vulnerabilidad en los archivos sdcard en un intent en dispositivos móviles Samsung (CVE-2017-18687)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0 / 5.1), M(6.0) y N(7.0). Un atacante puede obtener los nombres completos de las rutas de los archivos sdcard mediante la lectura del registro protegido del sistema tras la recepción de un determinado intent. El ID de Samsung es SVE-2016-7183 (Enero de 2017).
Vulnerabilidad en la transmisión de un intent en dispositivos móviles Samsung (CVE-2017-18686)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.0) y N(7.0). La información de contacto puede filtrarse hacia un archivo de registro debido a la transmisión de un intent desprotegido. El ID de Samsung es SVE-2016-7180 ????(Febrero de 2017).
Vulnerabilidad en el servicio time en dispositivos móviles Samsung (CVE-2017-18674)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software N(7.0). El servicio time (también se conoce como Timaservice) permite un pánico del kernel. El ID de Samsung es SVE-2017-8593 (Mayo de 2017).
Vulnerabilidad en el manejo de excepciones y un intent en AudioService en dispositivos móviles Samsung (CVE-2017-18682)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0 / 5.1), M(6.0) y N(7.0). Debido al manejo incorrecto de excepciones y un intent desprotegido, AudioService puede causar un bloqueo del sistema, los ID de Samsung son SVE-2017-8114, SVE-2017-8116 y SVE-2017-8117 (Marzo de 2017).
Vulnerabilidad en el cargador de arranque en dispositivos móviles Samsung Galaxy S5 (chipsets Qualcomm AP) (CVE-2017-18681)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung Galaxy S5 con versión de software hasta el 20-12-2016 (chipsets Qualcomm AP). Se presentan múltiples desbordamientos de búfer en el cargador de arranque. El ID de Samsung es SVE-2016-7930 (Marzo de 2017).
Vulnerabilidad en acciones Add User en la interfaz de pantalla de bloqueo en dispositivos móviles Samsung (tablets) (CVE-2017-18680)
Gravedad:
BajaBaja
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software L(5.0 / 5.1) y M(6.0) (tablets). La interfaz de pantalla de bloqueo permite acciones Add User, conllevando a una capacidad no deseada de acceder a los datos del usuario en el almacenamiento externo. El ID de Samsung es SVE-2016-7797 (Marzo de 2017).
Vulnerabilidad en una llamada a la API en SLocation en dispositivos móviles Samsung (CVE-2017-18679)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software M(6.0). SLocation puede causar un bloqueo del sistema mediante una llamada a una API que no está implementada. El ID de Samsung es SVE-2017-8285 (Abril de 2017).
Vulnerabilidad en un objeto serializable en dispositivos móviles Samsung (CVE-2017-18678)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0 / 5.1), M(6.0) y N(7.x). Un atacante puede bloquear los procesos del sistema por medio de un objeto serializable debido a una falta de manejo de excepciones. Los ID de Samsung son SVE-2017-8109, SVE-2017-8110, SVE-2017-8115, SVE-2017-8118 y SVE-2017-8119 (Abril de 2017).
Vulnerabilidad en un Intent en dispositivos móviles Samsung (CVE-2017-18677)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.0) y N(7.x). Debido a un Intent no protegido, un atacante puede restablecer la configuración de determinadas aplicaciones. El ID de Samsung es SVE-2016-7142 (Abril de 2017).
Vulnerabilidad en la protección de kernel RKP en captura de MSR en dispositivos móviles Samsung (CVE-2017-18676)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software N(7.0) (chipsets Qualcomm). Se presenta una omisión de la protección de kernel RKP (en la que pueden ocurrir asignaciones de memoria no deseadas) debido a una falta de captura de MSR. El ID de Samsung es SVE-2016-7901 (Abril de 2017).
Vulnerabilidad en ion en la aplicación Camera en dispositivos móviles Samsung (Exynos7420 o Exynox8890) (CVE-2017-18675)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.0) y N(7.x) (Exynos7420 o Exynox8890). La aplicación Camera puede filtrar memoria no inicializada por medio de ion. El ID de Samsung es SVE-2016-6989 (Abril de 2017).
Vulnerabilidad en un trustlet en dispositivos móviles Samsung (CVE-2017-18655)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.0) y N(7.x). Se presenta un desbordamiento del búfer en la región stack de la memoria con una corrupción de la memoria resultante en un trustlet. Los ID de Samsung son SVE-2017-8889, SVE-2017-8891 y SVE-2017-8892 (Agosto de 2017).
Vulnerabilidad en un nuevo certificado de seguridad en dispositivos móviles Samsung (CVE-2017-18654)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.0) y N(7.0, 7.1). Un atacante no autenticado puede registrar un nuevo certificado de seguridad. El ID de Samsung es SVE-2017-9659 (Septiembre de 2017).
Vulnerabilidad en un intent en la aplicación Email en dispositivos móviles Samsung (CVE-2017-18653)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0/5.1), M(6.0) y N(7.x). La aplicación Email permite a atacantes enviar correos electrónicos en nombre de cualquier usuario por medio de un intent transmitido. El ID de Samsung es SVE-2017-9357 (Septiembre de 2017).
Vulnerabilidad en las bibliotecas dinámicas en SVoice en dispositivos móviles Samsung (CVE-2017-18652)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.0) y N(7.x). SVoice permite una ejecución de código arbitraria al cambiar las bibliotecas dinámicas. El ID de Samsung es SVE-2017-9299 (Septiembre de 2017).
Vulnerabilidad en process_M_SetTokenTUIPasswd en dispositivos móviles Samsung (CVE-2017-18651)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.x) y N(7.x). Se presenta un desbordamiento de enteros en process_M_SetTokenTUIPasswd durante el manejo de una aplicación confiable, conllevando a una corrupción de la memoria. Los ID de Samsung son SVE-2017-9008 y SVE-2017-9009 (Octubre de 2017).
Vulnerabilidad en el archivo wpa_supplicant.conf en una IllegalArgumentException de WifiStateMachine en dispositivos móviles Samsung (CVE-2017-18650)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software N(7.x). Se presenta una IllegalArgumentException de WifiStateMachine y se reinicia si se lee un archivo wpa_supplicant.conf malformado. El ID de Samsung es SVE-2017-9828 (Octubre de 2017).
Vulnerabilidad en el cargador de arranque para el chipset Qualcomm MSM8998 en dispositivos móviles Samsung (CVE-2017-18649)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software N(7.x). Un atacante puede arrancar un dispositivo con privilegios root porque el cargador de arranque para el chipset Qualcomm MSM8998 carece de una comprobación de integridad de la imagen del sistema, también se conoce como el problema "SamFAIL". El ID de Samsung es SVE-2017-10465 (Noviembre de 2017).
Vulnerabilidad en un comando MTP en el estado bloqueado en dispositivos móviles Samsung (CVE-2017-18648)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4.x), L(5.x), M(6.x) y N(7.x). Las operaciones de lectura y escritura de archivos arbitrarios pueden ocurrir en el estado bloqueado por medio de un comando MTP diseñado. El ID de Samsung es SVE-2017-10086 (Noviembre de 2017).
Vulnerabilidad en RKP en dispositivos móviles Samsung (Exynos7420, Exynos8890 o MSM8996) (CVE-2017-18696)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.0) y N(7.0) (Exynos7420, Exynos8890 o MSM8996). RKP permite una corrupción de la memoria. El ID de Samsung es SVE-2016-7897 (Enero de 2017).
Vulnerabilidad en tlc_server en dispositivos móviles Samsung (CVE-2016-11033)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software M(6.0). Se presenta un desbordamiento de búfer en la región heap de la memoria en tlc_server. Los ID de Samsung son SVE-2016-7220 y SVE-2016-7225 (Noviembre de 2016).
Vulnerabilidad en un paquete de detección automática de EAS en el inicio de sesión en dispositivos móviles Samsung (CVE-2017-18695)
Gravedad:
BajaBaja
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0/5.1), M(6.0), y N(7.0). Los atacantes (que controlan un determinado subdominio) pueden detectar las credenciales de un usuario, durante el inicio de sesión de una cuenta de correo electrónico, por medio de un paquete de autodetección EAS. El ID de Samsung es SVE-2016-7654 (Enero de 2017).
Vulnerabilidad en la entrada fps sysfs en dispositivos móviles Samsung (CVE-2017-18693)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0/5.1), M(6.0) y N(7.0). Se presenta un desbordamiento de búfer en la entrada fps sysfs. El ID de Samsung es SVE-2016-7510 (Enero de 2017).
Vulnerabilidad en la interfaz sysfs de la pantalla táctil de sec_ts en dispositivos móviles Samsung (CVE-2017-18692)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software M(6.0) y N(7.0) (MSM8939, MSM8996, MSM8998, Exynos7580, Exynos8890 o Exynos8895). Se presenta una condición de carrera, con un desbordamiento del búfer resultante, en la interfaz sysfs de la pantalla táctil de sec_ts. El ID de Samsung es SVE-2016-7501 (Enero de 2017).
Vulnerabilidad en la funcionalidad Sound en dispositivos móviles Samsung (CVE-2016-11032)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software M(6.0). Un atacante puede deshabilitar toda la funcionalidad Sound al transmitir un intent desprotegido. Los ID de Samsung son SVE-2016-7179 y SVE-2016-7182 (Noviembre de 2016).
Vulnerabilidad en system_server en AntService en dispositivos móviles Samsung (CVE-2016-11031)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0/5.1) y M(6.0). AntService permite un bloqueo y reinicio de system_server. El ID de Samsung es SVE-2016-7044 (Noviembre de 2016).
Vulnerabilidad en el sysfs del controlador del sensor MAX86902 en dispositivos móviles Samsung (CVE-2016-11030)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0/5.1) y M(6.0) (con soporte de sensor Hrm). El sysfs del controlador del sensor MAX86902 no impide el acceso concurrente, conllevando una condición de carrera y un desbordamiento del búfer en la región heap de la memoria resultante. El ID de Samsung es SVE-2016-7341 (Diciembre de 2016).
Vulnerabilidad en la contraseña del Mobile Hotspot en un intent en dispositivos móviles Samsung (CVE-2016-11029)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software L(5.0/5.1), M(6.0) y N(7.0). Los atacantes pueden leer la contraseña del Mobile Hotspot en el registro debido a un intent desprotegido. El ID de Samsung es SVE-2016-7301 (Diciembre de 2016).
Vulnerabilidad en el trustlet OTP TrustZone en dispositivos móviles Samsung (CVE-2016-11028)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software hasta el 13-09-2016 (chipsets Exynos AP). Se presenta un desbordamiento de búfer en la región stack de la memoria en el trustlet OTP TrustZone. Los ID de Samsung son SVE-2016-7173 y SVE-2016-7174 (Diciembre de 2016).
Vulnerabilidad en la pantalla de bloqueo en el estado Shade Locked en dispositivos móviles Samsung (CVE-2016-11027)
Gravedad:
BajaBaja
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software M(6.0). En el estado Shade Locked, un atacante físicamente próximo puede leer notificaciones en la pantalla de bloqueo. El ID de Samsung es SVE-2016-7132 (Diciembre de 2016).
Vulnerabilidad en el manejo de excepciones en BootReceiver en dispositivos móviles Samsung (CVE-2016-11026)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software KK(4.4), L(5.0/5.1) y M(6.0). BootReceiver permite a atacantes activar un bloqueo del sistema debido al manejo incorrecto de excepciones. El ID de Samsung es SVE-2016-7118 (Diciembre de 2016).
Vulnerabilidad en memcpy en el servicio OTP en dispositivos móviles Samsung (CVE-2016-11025)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software hasta el 13-09-2016 (chipsets Exynos AP). Se presenta un desbordamiento de búfer en la región heap de la memoria de memcpy en el servicio OTP. El ID de Samsung es SVE-2016-7114 (Diciembre de 2016).
Vulnerabilidad en el envío de un "SigPubkeyLen" en el intercambio de claves ECDH en SolarWinds Dameware (CVE-2020-5734)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Un desbordamiento de búfer clásico en SolarWinds Dameware permite a un atacante remoto no autenticado causar una denegación de servicio por medio del envío de un "SigPubkeyLen" largo durante de claves ECDH.
Vulnerabilidad en el archivo "Index.js" en la función "_is_clamav_binary" en clamscan (CVE-2020-7613)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
clamscan versiones hasta 1.2.0, es vulnerable a una Inyección de Comandos. Es posible inyectar comandos arbitrarios como parte de la función "_is_clamav_binary" ubicada dentro del archivo "Index.js". Cabe señalar que esta vulnerabilidad requiere un requisito previo de que una carpeta sea creada con el mismo comando que será encadenada para ejecutarse. Esto reduce el riesgo de este problema.
Vulnerabilidad en las propiedades packages y option en la función "exec" en npm-programmatic (CVE-2020-7614)
Gravedad:
AltaAlta
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
npm-programmatic versiones hasta 0.0.12, es vulnerable a una Inyección de Comandos. Las propiedades packages y option son concatenadas juntas sin ninguna comprobación y son usadas directamente por la función "exec".
Vulnerabilidad en el primer argumento de la función "execGitCommand()" en la biblioteca "lib/rep.js#6" en fsa (CVE-2020-7615)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
fsa versiones hasta 0.5.1, es vulnerable a una Inyección de Comandos. El primer argumento de la función "execGitCommand()", ubicado dentro de la biblioteca "lib/rep.js#6" puede ser controlada por usuarios sin ningún saneamiento para inyectar comandos arbitrarios.
Vulnerabilidad en las funciones exportadas por el paquete en las propiedades del "Object.prototype" en express-mock-middleware (CVE-2020-7616)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
express-mock-middleware versiones hasta 0.0.6, es vulnerable a una Contaminación de Prototipos. Las funciones exportadas por el paquete pueden ser engañadas para agregar o modificar propiedades del "Object.prototype". Una explotación de esta vulnerabilidad requiere la creación de un nuevo directorio donde un código de ataque se pueda colocar, que luego sería exportado por "express-mock-middleware". Como tal, esto es considerado de bajo riesgo.
Vulnerabilidad en el archivo "js/set.js" en la función "set" en las propiedades del "Object.prototype" en sds (CVE-2020-7618)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
sds versiones hasta 3.2.0, es vulnerable a una Contaminación de Prototipos. La biblioteca podría ser engañada para agregar o modificar propiedades del "Object.prototype" al abusar de la función "set" ubicada en el archivo "js/set.js".
Vulnerabilidad en un archivo JPEG en la biblioteca libQjpeg.so en la función je_free en Qjpeg en Qt en dispositivos móviles Samsung (CVE-2016-11052)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software L(5.0/5.1). En la función je_free en la biblioteca libQjpeg.so en Qjpeg en Qt versión 5.5, permite una corrupción de la memoria por medio de un archivo JPEG malformado. El ID de Samsung es SVE-2015-5110 (Enero de 2016).
Vulnerabilidad en Factory Reset Protection (FRP) en dispositivos móviles Samsung (CVE-2016-11053)
Gravedad:
BajaBaja
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software hasta el 11-11-2015 (compatible con FRP/RL). Se presenta una omisión de Factory Reset Protection (FRP). El ID de Samsung es SVE-2015-5131 (Enero de 2016).
Vulnerabilidad en el Qualcomm WLAN Driver en dispositivos móviles Samsung. (chipsets Qualcomm Wi-Fi) (CVE-2016-11051)
Gravedad:
Sin asignarSin asignar
Publication date: 07/04/2020
Last modified:
04/06/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software J(4.2) (chipsets Qualcomm Wi-Fi). Se presenta un desbordamiento de búfer en el Qualcomm WLAN Driver. El ID de Samsung es SVE-2016-5326 (Febrero de 2016).
Vulnerabilidad en el IMEI en dispositivos móviles Samsung (CVE-2016-11050)
Gravedad:
BajaBaja
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software S3(KK), Note2(KK), S4(L), Note3(L) y S5(L). Un atacante puede reescribir el IMEI mediante una sobrescritura de firmware diseñada. El ID de Samsung es SVE-2016-5562 (Marzo de 2016).
Vulnerabilidad en el IMEI en dispositivos móviles Samsung (CVE-2016-11049)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software hasta el 16-01-2016 (chipsets Shannon333/308/310). El IMEI puede recuperarse y modificarse debido a un error en la gestión de la información clave. El ID de Samsung es SVE-2016-5435 (Marzo de 2016).
Vulnerabilidad en Factory Reset Protection (FRP) en dispositivos móviles Samsung (CVE-2016-11048)
Gravedad:
BajaBaja
Publication date: 07/04/2020
Last modified:
08/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software L(5.0/5.1) (chipsets Spreadtrum o Marvell). Se presenta una omisión de Factory Reset Protection (FRP). El ID de Samsung es SVE-2016-5421 (Marzo de 2016).
Vulnerabilidad en una imagen en la biblioteca Gallery en dispositivos móviles Samsung (CVE-2016-11045)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software L(5.0/5.1). La biblioteca Gallery permite una corrupción de la memoria por medio de una imagen malformada. El ID de Samsung es SVE-2016-5317 (Mayo de 2016).
Vulnerabilidad en la comprobación de una firma de aplicación en dispositivos móviles Samsung (CVE-2016-11044)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software L(5.0/5.1) y M(6.0) (con soporte Fingerprint). La comprobación de una firma de aplicación puede ser omitida durante la instalación. El ID de Samsung es SVE-2016-5923 (Junio de 2016).
Vulnerabilidad en la implementación S/MIME en EAS en DES en dispositivos móviles Samsung (CVE-2016-11043)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software M(6.0). La implementación S/MIME en EAS usa DES (donde es previsto 3DES). El ID de Samsung es SVE-2016-5871 (Junio de 2016).
Vulnerabilidad en el SIM Lock en dispositivos móviles Samsung (CVE-2016-11042)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software L(5.0/5.1) y M(6.0). Se presenta una omisión del SIM Lock. El ID de Samsung es SVE-2016-5381 (Junio de 2016).
Vulnerabilidad en un comando AT en USB en dispositivos móviles de Samsung (CVE-2016-11041)
Gravedad:
BajaBaja
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versión de software KK(4.4). Los atacantes pueden omitir la pantalla de bloqueo mediante el envío de un comando AT a través de USB. El ID de Samsung es SVE-2015-5301 (Junio de 2016).
Vulnerabilidad en el controlador ACIPC-MSOCKET en dispositivos móviles de Samsung (CVE-2016-11047)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software versiones JBP(4.2) y KK(4.4) (chipsets Marvell). El controlador ACIPC-MSOCKET permite una escalada de privilegios locales por medio de un desbordamiento de búfer en la región stack de la memoria. El ID de Samsung es SVE-2016-5393 (Abril de 2016).
Vulnerabilidad en una lista blanca en dispositivos móviles Samsung (CVE-2016-11046)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software JBP(4.3), KK(4.4) y L(5.0/5.1). Debido a una lista blanca usada inapropiadamente, unos atacantes pueden alcanzar la capa radio (también se conoce como RIL o RILD) para realizar llamadas o enviar mensajes SMS. El ID de Samsung es SVE-2016-5733 (Mayo de 2016).
Vulnerabilidad en el parámetro lang en la página de índice de la consola de administración de CLink Office (CVE-2020-6171)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en la página de índice de la consola de administración de CLink Office versión 2.0, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro lang.
Vulnerabilidad en los endpoints de comprobación de formularios en Jenkins useMango Runner Plugin (CVE-2020-2176)
Gravedad:
BajaBaja
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Múltiples endpoints de comprobación de formularios en Jenkins useMango Runner Plugin versiones 1.4 y anteriores, no escapan a valores recibidos del servicio useMango, resultando en una vulnerabilidad de tipo cross-site-scripting (XSS) explotable por usuarios capaces de controlar los valores devueltos desde el servicio useMango.
Vulnerabilidad en los archivos de entrada XML en la Interfaz de Usuario de Jenkins FitNesse Plugin (CVE-2020-2175)
Gravedad:
BajaBaja
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
En Jenkins FitNesse Plugin versiones 1.31 y anteriores, no escapan correctamente a los contenidos del reporte antes de mostrarlos en la Interfaz de Usuario de Jenkins, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) explotable por usuarios capaces de controlar los archivos de entrada XML procesados ??por el plugin.
Vulnerabilidad en una comprobación de formularios en Jenkins AWSEB Deployment Plugin (CVE-2020-2174)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Jenkins AWSEB Deployment Plugin versiones 0.3.19 y anteriores, no escapa a varios valores impresos como parte de la salida de una comprobación de formularios, resultando en una vulnerabilidad de tipo cross-site scripting reflejado.
Vulnerabilidad en los encabezados Content-Security-Policy en unos reportes de Gatling en Jenkins Gatling Plugin (CVE-2020-2173)
Gravedad:
BajaBaja
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Jenkins Gatling Plugin versiones 1.2.7 y anteriores, impiden que los encabezados Content-Security-Policy sean configurados por unos reportes de Gatling servidos por el plugin, resultando en una vulnerabilidad de tipo XSS explotable por los usuarios capaces de cambiar el contenido del reporte.
Vulnerabilidad en analizador XML en Jenkins Code Coverage API Plugin (CVE-2020-2172)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Jenkins Code Coverage API Plugin versiones 1.1.4 y anteriores, no configuran su analizador XML para impedir ataques de tipo XML external entity (XXE).
Vulnerabilidad en una biblioteca DLL en la ruta de búsqueda en Bitdefender High-Level Antimalware SDK para Windows (CVE-2020-8096)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
07/04/2020
Descripción:
Una vulnerabilidad de Ruta de Búsqueda No Confiable en Bitdefender High-Level Antimalware SDK para Windows, permite a un atacante cargar código de terceros a partir de una biblioteca DLL en la ruta de búsqueda. Este problema afecta a: Bitdefender High-Level Antimalware SDK para Windows versiones anteriores a 3.0.1.204.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el servicio Telnet en GE Mark VIe Controller (CVE-2019-13554)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
09/10/2020
Descripción:
GE Mark VIe Controller posee un protocolo Telnet no seguro que puede permitir a un usuario crear una sesión autenticada usando credenciales predeterminadas genéricas. GE recomienda que los usuarios deshabiliten el servicio Telnet.
Vulnerabilidad en el archivo drivers/media/usb/gspca/ov519.c en las funciones ov511_mode_init_regs y ov518_mode_init_regs en el kernel de Linux (CVE-2020-11608)
Gravedad:
MediaMedia
Publication date: 07/04/2020
Last modified:
13/06/2020
Descripción:
Se detectó un problema en el kernel de Linux versiones anteriores a 5.6.1. El archivo drivers/media/usb/gspca/ov519.c, permite desreferencias del puntero NULL en las funciones ov511_mode_init_regs y ov518_mode_init_regs cuando hay cero endpoints, también se conoce como CID-998912346c0d.
Vulnerabilidad en el archivo mm/mempolicy.c en la función mpol_parse_str en el kernel de Linux (CVE-2020-11565)
Gravedad:
BajaBaja
Publication date: 05/04/2020
Last modified:
10/06/2020
Descripción:
** EN DISPUTA ** Se detectó un problema en el kernel de Linux versiones hasta 5.6.2. La función mpol_parse_str en el archivo mm/mempolicy.c presenta una escritura fuera de límites en la región stack de la memoria porque una lista de nodos vacía es manejada inapropiadamente durante el análisis de la opción de montaje, también se conoce como CID-aa9f7d5172fa. NOTA: Alguien en la comunidad de seguridad no está de acuerdo en que se trata de una vulnerabilidad porque el problema "es un error en el análisis de las opciones de montaje que sólo puede ser especificado por un usuario privilegiado, por lo que la activación del error no otorga ningún poder que no se tenga ya".
Vulnerabilidad en BigTree (CVE-2018-20405)
Gravedad:
MediaMedia
Publication date: 23/12/2018
Last modified:
24/08/2020
Descripción:
** EN DISPUTA ** BigTree versión 4.3 permite la revelación de ruta completa mediante una entrada autenticada en admin/news/ que desencadena un error de sintaxis. NOTA: Esto se ha disputado con el siguiente razonamiento: "El problema reportado requiere acceso total de nivel de desarrollador al sistema de administración de contenido donde los cross site scripting no son un problema ya que tiene el control total del CMS, incluida la ejecución de PHP arbitrario".
Vulnerabilidad en Samsung Exynos fimg2d para Android (CVE-2016-6604)
Gravedad:
AltaAlta
Publication date: 30/01/2017
Last modified:
07/04/2020
Descripción:
La desreferencia de puntero NULL en el controlador Samsung Exynos fimg2d para Android L (5.0/5.1) y M(6.0) permite a los atacantes tener un impacto no especificado mediante vectores desconocidos. La ID de Samsung es SVE-2016-6382.