Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la acción AJAX de wp_ajax_cf7dp_save_settings y el parámetro ui_theme en el plugin Datepicker Contact Form 7 para WordPress (CVE-2020-11516)
Gravedad:
BajaBaja
Publication date: 07/04/2020
Last modified:
10/04/2020
Descripción:
Una vulnerabilidad de tipo XSS almacenado en el plugin Datepicker Contact Form 7 versiones hasta 2.6.0 para WordPress, permite a atacantes autenticados con permisos mínimos guardar JavaScript arbitrario en la configuración del plugin por medio de la acción AJAX de wp_ajax_cf7dp_save_settings no protegida y el parámetro ui_theme. Si un administrador crea o modifica un formulario de contacto, el JavaScript será ejecutado en su navegador, que luego puede ser usado para crear nuevos usuarios administrativos o llevar a cabo otras acciones usando la sesión del administrador.
Vulnerabilidad en vectores que involucran una sesión de Wi-Fi con GPS habilitado en las cámaras cloud de TP-Link (CVE-2020-11445)
Gravedad:
MediaMedia
Publication date: 01/04/2020
Last modified:
10/04/2020
Descripción:
Las cámaras cloud de TP-Link hasta el 09-02-2020, permiten a atacantes remotos omitir la autenticación y conseguir información confidencial por medio de vectores que involucran una sesión Wi-Fi con GPS habilitado, también se conoce como CNVD-2020-04855.
Vulnerabilidad en consultas de Polkit en mensajes dbus en systemd (CVE-2020-1712)
Gravedad:
MediaMedia
Publication date: 31/03/2020
Last modified:
10/04/2020
Descripción:
Se detectó una vulnerabilidad uso de la memoria previamente liberada de la pila en systemd versiones anteriores a v245-rc1, donde se llevaron a cabo consultas de Polkit asincrónicas mientras se manejan mensajes dbus. Un atacante no privilegiado local puede abusar de este fallo para bloquear los servicios de systemd o potencialmente ejecutar código y elevar sus privilegios, mediante el envío de mensajes dbus especialmente diseñados.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en los dispositivos TP-Link (CVE-2020-10231)
Gravedad:
MediaMedia
Publication date: 01/04/2020
Last modified:
12/05/2020
Descripción:
Los dispositivos TP-Link NC200 versiones hasta 2.1.8_Build_171109, NC210 versiones hasta 1.0.9_Build_171214, NC220 versiones hasta 1.3.0_Build_180105, NC230 versiones hasta 1.3.0_Build_171205, NC250 versiones hasta 1.3.0_Build_171205, NC260 versiones hasta 1.5.1_Build_190805, y NC450 versiones hasta 1.5.0_Build_181022, permiten una Desreferencia del Puntero NULL remota.