Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

CVE-2020-13790
Gravedad:
MediaMedia
Publication date: 03/06/2020
Last modified:
19/09/2020
Descripción:
libjpeg-turbo versión 2.0.4, y mozjpeg versión 4.0.0, presenta una lectura excesiva del búfer en la región heap de la memoria en la función get_rgb_row() en el archivo rdppm.c por medio de un archivo de entrada PPM malformado.
Vulnerabilidad en contraseñas producidas por un generador de números aleatorios en Elastic Cloud on Kubernetes (ECK) (CVE-2020-7010)
Gravedad:
MediaMedia
Publication date: 03/06/2020
Last modified:
05/06/2020
Descripción:
Elastic Cloud on Kubernetes (ECK) versiones anteriores a 1.1.0, generan contraseñas usando un generador de números aleatorios débil. Si un atacante puede determinar cuándo el clúster de Elastic Stack actual se implementó, puede ser capaz de forzar más fácilmente con fuerza bruta las credenciales de Elasticsearch generadas por ECK.
Vulnerabilidad en el Upgrade Assistant en Kibana (CVE-2020-7012)
Gravedad:
MediaMedia
Publication date: 03/06/2020
Last modified:
05/06/2020
Descripción:
Kibana versiones 6.7.0 hasta 6.8.8 y 7.0.0 hasta 7.6.2, contienen un fallo contaminación de prototipo en el Upgrade Assistant. Un atacante autenticado con privilegios para escribir en el índice de Kibana podría insertar datos que harían que Kibana ejecutara código arbitrario. Esto podría conllevar posiblemente a que un atacante ejecute código con los permisos del proceso de Kibana en el sistema host.
Vulnerabilidad en la visualización TSVB en Kibana (CVE-2020-7015)
Gravedad:
BajaBaja
Publication date: 03/06/2020
Last modified:
05/06/2020
Descripción:
Kibana versiones anteriores a 6.8.9 y 7.7.0, contienen un fallo de tipo XSS almacenado en la visualización TSVB. Un atacante que puede editar o crear una visualización TSVB podría permitirle obtener información confidencial o realizar acciones destructivas, en nombre de los usuarios de Kibana que editan la visualización TSVB.
Vulnerabilidad en las URL de los documentos en la Interfaz de Usuario Reference en Elastic App Search (CVE-2020-7011)
Gravedad:
MediaMedia
Publication date: 03/06/2020
Last modified:
05/06/2020
Descripción:
Elastic App Search versiones anteriores a 7.7.0, contienen un fallo de tipo cross site scripting (XSS) cuando se muestran las URL de los documentos en la Interfaz de Usuario Reference. Si la Interfaz de Usuario Reference inyecta una URL en un resultado, esa URL será representada por el navegador web. Si un atacante es capaz de controlar el contenido de dicho campo, podría ejecutar JavaScript arbitrario en el navegador web de la víctima.
Vulnerabilidad en una grabación en ARF o WRF en Cisco Webex Network Recording Player y Cisco Webex Player para Microsoft Windows (CVE-2020-3322)
Gravedad:
MediaMedia
Publication date: 03/06/2020
Last modified:
05/06/2020
Descripción:
Una vulnerabilidad en Cisco Webex Network Recording Player y Cisco Webex Player para Microsoft Windows, podría permitir a un atacante causar un bloqueo del proceso resultando en una condición de Denegación de servicio (DoS) para la aplicación del reproductor sobre un sistema afectado. La vulnerabilidad se presenta debido a una comprobación insuficiente de determinados elementos con una grabación de Webex almacenada en Advanced Recording Format (ARF) o en Webex Recording Format (WRF). Un atacante podría explotar esta vulnerabilidad al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo a un usuario de abrir el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir a un atacante causar que la aplicación del reproductor Webex se bloquee cuando tratan de visualizar el archivo malicioso.
Vulnerabilidad en el recurso de lista CustomAppsRestResource en Atlassian Navigator Links (CVE-2020-4026)
Gravedad:
MediaMedia
Publication date: 02/06/2020
Last modified:
05/06/2020
Descripción:
El recurso de lista CustomAppsRestResource en Atlassian Navigator Links anterior a versión 3.3.23, desde versión 4.0.0 anterior a versión 4.3.7, desde versión 5.0.0 anterior a versión a 5.0.1 y desde versión 5.1.0 anterior a versión 5.1.1, permite a atacantes remotos enumerar todas las aplicaciones vinculadas, incluidas las que están restringidas o están ocultas, mediante una comprobación de autorización incorrecta.
Vulnerabilidad en las peticiones web en .NET Core o .NET Framework en Microsoft (CVE-2020-1108)
Gravedad:
MediaMedia
Publication date: 21/05/2020
Last modified:
05/06/2020
Descripción:
Se presenta una vulnerabilidad denegación de servicio cuando .NET Core o .NET Framework manejan inapropiadamente las peticiones web, también se conoce como ".NET Core & .NET Framework Denial of Service Vulnerability"

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

CVE-2020-13379
Gravedad:
MediaMedia
Publication date: 03/06/2020
Last modified:
03/09/2020
Descripción:
La funcionalidad avatar en Grafana versiones 3.0.1 hasta 7.0.1, presenta un problema de Control de Acceso Incorrecto de tipo SSRF. Esta vulnerabilidad permite que cualquier usuario y cliente no autenticado haga que Grafana envíe peticiones HTTP hacia cualquier URL y devuelva su resultado al usuario y cliente. Esto puede ser utilizado para conseguir información sobre la red en la que Grafana se está ejecutando. Además, pasar objetos URL inválidos podría ser usado para DOS'ing Grafana a través de SegFault
Vulnerabilidad en las visualizaciones TSVB en Kibana (CVE-2020-7013)
Gravedad:
MediaMedia
Publication date: 03/06/2020
Last modified:
26/06/2020
Descripción:
Kibana versiones anteriores a 6.8.9 y 7.7.0, contienen un fallo de contaminación de prototipo en TSVB. Un atacante autenticado con privilegios para crear visualizaciones TSVB podría insertar datos que harían que Kibana ejecute código arbitrario. Esto podría conllevar posiblemente a que un atacante ejecute código con los permisos del proceso de Kibana en el sistema host.
Vulnerabilidad en el archivo driversdrivers/media/usb/go7007/snd-go7007.c en la función go7007_snd_init en el kernel de Linux (CVE-2019-20810)
Gravedad:
MediaMedia
Publication date: 02/06/2020
Last modified:
15/09/2020
Descripción:
La función go7007_snd_init en el archivo driversdrivers/media/usb/go7007/snd-go7007.c en el kernel de Linux versiones anteriores a 5.6, no llama a snd_card_free para una ruta de fallo, lo que causa una pérdida de memoria, también se conoce como CID-9453264ef586.
Vulnerabilidad en en la función addStackElement en Squid. (CVE-2019-12521)
Gravedad:
MediaMedia
Publication date: 15/04/2020
Last modified:
10/07/2020
Descripción:
Se detectó un problema en Squid versiones hasta 4.7. Cuando Squid analiza ESI, mantiene los elementos de ESI en ESIContext. ESIContext contiene un búfer para contener una pila de ESIElements. Cuando se analiza un nuevo ESIElement, es agregado por medio de la función addStackElement. addStackElement presenta una comprobación para el número de elementos en este búfer, pero está desactivado por 1, conllevando a un Desbordamiento de la Pila de 1 elemento. El desbordamiento se encuentra dentro de la misma estructura, por lo que no puede afectar a los bloques de memoria adyacentes y, por lo tanto, solo conlleva a un bloqueo mientras se procesa.
Vulnerabilidad en determinados sistemas con microprocesadores (CVE-2017-5753)
Gravedad:
MediaMedia
Publication date: 04/01/2018
Last modified:
05/06/2020
Descripción:
Los sistemas con microprocesadores con ejecución especulativa y predicción de ramas podrían permitir la revelación no autorizada de información al atacante con acceso de usuario local mediante un análisis de un canal lateral.
Vulnerabilidad en Google Chrome (CVE-2011-0784)
Gravedad:
MediaMedia
Publication date: 04/02/2011
Last modified:
05/06/2020
Descripción:
Condición de carrera en Google Chrome anterior a v9.0.597.84, permite a atacantes remotos ejecutar código de su elección a través de vectores relacionados con el audio