Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en las URL en un elemento OBJECT al heredar el CSP en documentos formados usando datos en Firefox (CVE-2020-12391)
Gravedad:
MediaMedia
Publication date: 26/05/2020
Last modified:
28/05/2020
Descripción:
Documentos formados usando datos: las URL en un elemento OBJECT presentaron un fallo al heredar el CSP del contexto de creación. Esto permitió la ejecución de scripts que debieron haber sido bloqueados, aunque con un origen opaco único. Esta vulnerabilidad afecta a Firefox versiones anteriores a 76.
Vulnerabilidad en los datos HTTP POST de una petición en la funcionalidad "Copy as cURL" de la pestaña de red de Devtools en Firefox ESR, Firefox y Thunderbird (CVE-2020-12392)
Gravedad:
BajaBaja
Publication date: 26/05/2020
Last modified:
12/06/2020
Descripción:
La funcionalidad "Copy as cURL" de la pestaña de red de Devtools no escapa apropiadamente los datos HTTP POST de una petición, que el sitio web puede controlar. Si un usuario usó la funcionalidad "Copy as cURL" y pegó el comando a un terminal, podría haber resultado en la divulgación de archivos locales. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 68.8, Firefox versiones anteriores a 76 y Thunderbird versiones anteriores a 68.8.0.
CVE-2020-12394
Gravedad:
BajaBaja
Publication date: 26/05/2020
Last modified:
12/06/2020
Descripción:
Un fallo lógico en nuestra implementación de la barra de ubicación podría haber permitido a un atacante local falsificar la ubicación actual al seleccionar un origen diferente y eliminar el foco del elemento de entrada. Esta vulnerabilidad afecta a Firefox versiones anteriores a 76.
Vulnerabilidad en bugs de seguridad de la memoria en Firefox ESR, Firefox y Thunderbird (CVE-2020-12395)
Gravedad:
AltaAlta
Publication date: 26/05/2020
Last modified:
12/06/2020
Descripción:
Los desarrolladores de Mozilla y los miembros de la comunidad informaron bugs de seguridad de la memoria presentes en Firefox versión 75 y Firefox ESR versión 68.7. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de estos podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 68.8, Firefox versiones anteriores a 76 y Thunderbird versiones anteriores a 68.8.0.
Vulnerabilidad en bugs de seguridad de la memoria en Firefox (CVE-2020-12396)
Gravedad:
AltaAlta
Publication date: 26/05/2020
Last modified:
12/06/2020
Descripción:
Los desarrolladores de Mozilla y los miembros de la comunidad informaron bugs de seguridad de la memoria presentes en Firefox versión 75. Algunos de estos errores mostraron evidencia de corrupción de memoria y suponemos que con suficiente esfuerzo algunos de estos podrían haber sido explotados para ejecutar código arbitrario. Esta vulnerabilidad afecta a Firefox versiones anteriores a 76.
Vulnerabilidad en el Content-Length y el análisis de encabezado de codificación Transfer en meinheld (CVE-2020-7658)
Gravedad:
MediaMedia
Publication date: 22/05/2020
Last modified:
28/05/2020
Descripción:
meinheld versiones anteriores a 1.0.2, es vulnerable al tráfico no autorizado de peticiones HTTP. Problemas de canalización de HTTP y los ataques de tráfico no autorizado de peticiones podrían ser posibles debido a un Content-Length y al análisis de encabezado de codificación Transfer incorrectos.
Vulnerabilidad en la canalización HTTP en un proxy en Puma (RubyGem) (CVE-2020-11077)
Gravedad:
MediaMedia
Publication date: 22/05/2020
Last modified:
18/07/2020
Descripción:
En Puma (RubyGem) versiones anteriores a 4.3.5 y 3.12.6, un cliente podría hacer pasar sin autorización una petición por medio de un proxy, causando que el proxy envíe una respuesta a otro cliente desconocido. Si el proxy usa conexiones persistentes y el cliente agrega otra petición por medio de la canalización HTTP, el proxy puede confundirlo como el cuerpo de la primera petición. Sin embargo, Puma lo vería como dos peticiones y, al procesar la segunda petición, devolvería una respuesta que el proxy no espera. Si el proxy ha reutilizado la conexión persistente a Puma para enviar otra petición para un cliente diferente, la segunda respuesta desde el primer cliente será enviada al segundo cliente. Esta es una vulnerabilidad similar pero diferente de CVE-2020-11076. El problema se ha corregido en Puma versión 3.12.6 y Puma versión 4.3.5.
Vulnerabilidad en un paquete en Cisco AMP para Endpoints Linux Connector Software y Cisco AMP para Endpoints Mac Connector Software (CVE-2020-3343)
Gravedad:
BajaBaja
Publication date: 22/05/2020
Last modified:
28/05/2020
Descripción:
Una vulnerabilidad en Cisco AMP para Endpoints Linux Connector Software y Cisco AMP para Endpoints Mac Connector Software, podría permitir a un atacante local autenticado causar un desbordamiento de búfer sobre un dispositivo afectado. La vulnerabilidad es debido a una comprobación de entrada insuficiente. Un atacante podría explotar esta vulnerabilidad al enviar un paquete diseñado hacia un dispositivo afectado. Una explotación con éxito podría permitir a un atacante hacer que el servicio Cisco AMP para Endpoints se bloquee y reinicie.
Vulnerabilidad en un paquete en Cisco AMP para Endpoints Linux Connector Software y Cisco AMP para Endpoints Mac Connector Software (CVE-2020-3344)
Gravedad:
BajaBaja
Publication date: 22/05/2020
Last modified:
28/05/2020
Descripción:
Una vulnerabilidad en Cisco AMP para Endpoints Linux Connector Software y Cisco AMP para Endpoints Mac Connector Software, podría permitir a un atacante local autenticado causar un desbordamiento de búfer sobre un dispositivo afectado. La vulnerabilidad es debido a una comprobación de entrada insuficiente. Un atacante podría explotar esta vulnerabilidad al enviar un paquete diseñado hacia un dispositivo afectado. Una explotación con éxito podría permitir a un atacante causar que el servicio Cisco AMP para Endpoints se bloquee y reinicie.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el análisis y comprobación de fragmentos SCTP en WebRTC en Firefox ESR, Firefox y Thunderbird (CVE-2020-6831)
Gravedad:
AltaAlta
Publication date: 26/05/2020
Last modified:
23/07/2020
Descripción:
Podría presentarse un desbordamiento del búfer cuando se analizan y comprueban fragmentos SCTP en WebRTC. Esto podría haber provocado una corrupción en la memoria y un bloqueo potencialmente explotable. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 68.8, Firefox versiones anteriores a 76 y Thunderbird versiones anteriores a 68.8.0.
Vulnerabilidad en las credenciales en Aviatrix Controller (CVE-2020-13414)
Gravedad:
MediaMedia
Publication date: 22/05/2020
Last modified:
28/05/2020
Descripción:
Se detectó un problema en Aviatrix Controller versiones anteriores a 5.4.1204. Contiene credenciales no utilizadas por el software.