Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en una aplicación en iOS, iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-9842)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
09/06/2020
Descripción:
Este problema se abordó con comprobaciones mejoradas. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Una aplicación puede ser capaz de usar derechos arbitrarios
Vulnerabilidad en una aplicación en la memoria del kernel en macOS Catalina (CVE-2020-9832)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
09/06/2020
Descripción:
Se abordó una lectura fuera de límites con una comprobación de entrada mejorada. Este problema es corregido en macOS Catalina versión 10.15.5. Una aplicación maliciosa puede ser capaz de determinar el diseño de la memoria del kernel
Vulnerabilidad en la memoria del kernel en macOS Catalina de Apple (CVE-2020-9833)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
09/06/2020
Descripción:
Se abordó un problema de inicialización de la memoria con un manejo de la memoria mejorado. Este problema es corregido en macOS Catalina versión 10.15.5. Un usuario local puede ser capaz de leer la memoria del kernel
Vulnerabilidad en una aplicación en macOS Catalina (CVE-2020-9834)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
10/06/2020
Descripción:
Se abordó un problema de corrupción de la memoria con una comprobación de entrada mejorada. Este problema es corregido en macOS Catalina versión 10.15.5. Una aplicación puede ser capaz de ejecutar código arbitrario con privilegios de kernel
Vulnerabilidad en el video en una llamada de FaceTime en iOS y iPadOS de Apple (CVE-2020-9835)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
10/06/2020
Descripción:
Se presentó un problema en la pausa del video de FaceTime. El problema se resolvió con una lógica mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5. El video de un usuario no puede ser pausado en una llamada de FaceTime si salen de la aplicación FaceTime mientras la llamada está sonando
Vulnerabilidad en la memoria en iOS, iPadOS, macOS Catalina, tvOS de Apple (CVE-2020-9837)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
09/06/2020
Descripción:
Se abordó una lectura fuera de límites con una comprobación de límites mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5. Un atacante remoto puede ser capaz de filtrar la memoria
Vulnerabilidad en iOS y iPadOS de Apple (CVE-2020-9838)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
09/06/2020
Descripción:
Se abordó una lectura fuera de límites con una comprobación de límites mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5. Un atacante remoto puede ser capaz de causar una ejecución de código arbitraria
Vulnerabilidad en una aplicación en iOS, iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-9839)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
07/09/2020
Descripción:
Se abordó una condición de carrera con un manejo del estado mejorado. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Una aplicación puede ser capaz de alcanzar privilegios elevados
Vulnerabilidad en una aplicación en macOS Catalina de Apple (CVE-2020-9841)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
09/06/2020
Descripción:
Se abordó un desbordamiento de enteros por medio de una comprobación de entrada mejorada. Este problema es corregido en macOS Catalina versión 10.15.5. Una aplicación puede ser capaz de ejecutar código arbitrario con privilegios de kernel
Vulnerabilidad en una aplicación en la memoria del kernel en macOS Catalina (CVE-2020-9831)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
09/06/2020
Descripción:
Se abordó una lectura fuera de límites con una comprobación de límites mejorada. Este problema es corregido en macOS Catalina versión 10.15.5. Una aplicación maliciosa puede ser capaz de determinar el diseño de la memoria del kernel
Vulnerabilidad en iOS, iPadOS, macOS Catalina de Apple (CVE-2020-9844)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
25/06/2020
Descripción:
Se abordó un problema doble liberación con una administración de la memoria mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5. Un atacante remoto puede ser capaz de causar la finalización inesperada del sistema o una corrupción de la memoria del kernel
Vulnerabilidad en una aplicación en macOS Catalina de Apple (CVE-2020-9847)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
09/06/2020
Descripción:
Se abordó una lectura fuera de límites con una comprobación de límites mejorada. Este problema es corregido en macOS Catalina versión 10.15.5. Una aplicación maliciosa puede ser capaz de salir de su sandbox
Vulnerabilidad en el contenido de las notificaciones de la pantalla de bloqueo en iOS y iPadOS de Apple (CVE-2020-9848)
Gravedad:
BajaBaja
Publication date: 09/06/2020
Last modified:
09/06/2020
Descripción:
Se abordó un problema de autorización con una administración de estado mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5. Una persona con acceso físico a un dispositivo de iOS puede ser capaz de visualizar el contenido de las notificaciones desde la pantalla de bloqueo
Vulnerabilidad en iOS, iPadOS, tvOS, watchOS, Safari, iTunes para Windows, iCloud para Windows, iCloud para Windows de Apple (CVE-2020-9850)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
26/07/2020
Descripción:
Se abordó un problema lógico con restricciones mejoradas. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, tvOS versión 13.4.5, watchOS versión 6.2.5, Safari versión 13.1.1, iTunes versión 12.10.7 para Windows, iCloud para Windows versión 11.2, iCloud para Windows versión 7.19. Un atacante remoto puede ser capaz de causar una ejecución de código arbitraria
Vulnerabilidad en una aplicación en macOS Catalina de Apple (CVE-2020-9851)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
09/06/2020
Descripción:
Se abordó un problema de acceso con restricciones de acceso mejoradas. Este problema es corregido en macOS Catalina versión 10.15.5. Una aplicación maliciosa puede ser capaz de modificar partes protegidas del sistema de archivos
Vulnerabilidad en una aplicación en iOS, iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-9852)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
09/06/2020
Descripción:
Se abordó un desbordamiento de enteros por medio de una comprobación de entrada mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios de kernel
Vulnerabilidad en el procesamiento de un mensaje de texto en iOS, iPadOS, tvOS y watchOS de Apple (CVE-2020-9829)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
09/06/2020
Descripción:
Se abordó un problema de comprobación con un saneamiento de entrada mejorado. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, tvOS versión 13.4.5, watchOS versión 6.2.5. El procesamiento de un mensaje de texto diseñado con fines maliciosos puede conllevar a una denegación de servicio de la aplicación
Vulnerabilidad en iOS, iPadOS, macOS Catalina tvOS, watchOS de Apple (CVE-2020-9827)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
09/06/2020
Descripción:
Se abordó un problema de denegación de servicio con una comprobación de entrada mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Un atacante remoto puede ser capaz de causar una denegación de servicio
Vulnerabilidad en el procesamiento de un archivo de audio en iOS, iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-9791)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
10/06/2020
Descripción:
Se abordó una lectura fuera de límites con una comprobación de entrada mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. El procesamiento de un archivo de audio diseñado con fines maliciosos puede conllevar a una ejecución de código arbitraria
Vulnerabilidad en el objeto de plantilla de nombre de usuario en el archivo include/rcmail_output_html.php en Roundcube Webmail (CVE-2020-13964)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
18/06/2020
Descripción:
Se detectó un problema en Roundcube Webmail versiones anteriores a 1.3.12. En el archivo include/rcmail_output_html.php permite un ataque de tipo XSS por medio del objeto de plantilla de nombre de usuario
Vulnerabilidad en support_type en el plugin drag-and-drop-multiple-file-upload-contact-form-7 para WordPress (CVE-2020-12800)
Gravedad:
AltaAlta
Publication date: 08/06/2020
Last modified:
10/06/2020
Descripción:
El plugin drag-and-drop-multiple-file-upload-contact-form-7 versiones anteriores a 1.3.3.3 para WordPress, permite una Carga de Archivos Sin Restricciones y una ejecución de código remota al configurar support_type en php% y al cargar un archivo .php%
Vulnerabilidad en el campo savefilepath en el archivo handler/upload_handler.jsp en DEXT5 Editor (CVE-2020-13894)
Gravedad:
MediaMedia
Publication date: 06/06/2020
Last modified:
10/06/2020
Descripción:
El archivo handler/upload_handler.jsp en DEXT5 Editor versiones hasta 3.5.1402961, permite a un atacante descargar archivos arbitrarios por medio del campo savefilepath
Vulnerabilidad en un nombre de acceso directo de menú en Combodo iTop (CVE-2020-11696)
Gravedad:
MediaMedia
Publication date: 05/06/2020
Last modified:
10/06/2020
Descripción:
En Combodo iTop, un nombre de acceso directo de menú puede ser explotado con una carga de tipo XSS almacenado. Esto es corregido en todos los paquetes iTop (community, essential, professional) en la versión 2.7.0 y iTop essential e iTop professional en la versión 2.6.4
Vulnerabilidad en los id del panel de control en Combodo iTop (CVE-2020-11697)
Gravedad:
MediaMedia
Publication date: 05/06/2020
Last modified:
10/06/2020
Descripción:
En Combodo iTop, los id del panel de control pueden ser explotados con una carga útil XSS reflexiva. Esto es corregido en todos los paquetes iTop (community, essential, professional) para la versión 2.7.0 y en los paquetes iTop essential e iTop professional para la versión 2.6.4
Vulnerabilidad en scripting de OGNL en clases estáticas de Java en Apache Unomi (CVE-2020-11975)
Gravedad:
AltaAlta
Publication date: 05/06/2020
Last modified:
10/06/2020
Descripción:
Apache Unomi, permite condiciones para usar scripting de OGNL que ofrece la posibilidad de llamar a clases estáticas de Java desde el JDK que podrían ejecutar código con el nivel de permiso del proceso Java en ejecución

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el procesamiento de un contenido web en iOS, iPadOS, tvOS, watchOS, Safari, iTunes, iCloud para Windows de Apple (CVE-2020-9843)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
23/09/2020
Descripción:
Se abordó un problema de comprobación de entrada con una comprobación de entrada mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, tvOS versión 13.4.5, watchOS versión 6.2.5, Safari versión 13.1.1, iTunes versión 12.10.7 para Windows, iCloud para Windows versión 11.2, iCloud para Windows versión 7.19. El procesamiento de un contenido web diseñado con fines maliciosos puede conllevar a un ataque de tipo cross site scripting
Vulnerabilidad en una aplicación en macOS Catalina de Apple (CVE-2020-9830)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
19/08/2020
Descripción:
Se abordó un problema de corrupción de la memoria con una administración de estado mejorada. Este problema es corregido en macOS Catalina versión 10.15.5. Una aplicación puede ser capaz de ejecutar código arbitrario con privilegios de kernel
Vulnerabilidad en un archivo adjunto XML en Roundcube Webmail (CVE-2020-13965)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
23/07/2020
Descripción:
Se detectó un problema en Roundcube Webmail versiones anteriores a 1.3.12. Se presenta una vulnerabilidad de tipo XSS por medio de un archivo adjunto XML malicioso porque text/xml se encuentra entre los tipos permitidos para una vista previa
Vulnerabilidad en los valores "options" en curlrequest (CVE-2020-7646)
Gravedad:
AltaAlta
Publication date: 07/05/2020
Last modified:
09/06/2020
Descripción:
curlrequest hasta la versión 1.0.1 permite leer cualquier archivo rellenando el parámetro del archivo con la entrada del usuario
Vulnerabilidad en la funcionalidad Test Web Service en Microstrategy Web (CVE-2020-11453)
Gravedad:
MediaMedia
Publication date: 02/04/2020
Last modified:
09/06/2020
Descripción:
**DISPUTA** Microstrategy Web versión 10.4, es vulnerable a un ataque de tipo Server-Side Request Forgery en la funcionalidad Test Web Service expuesta por medio de la ruta /MicroStrategyWS/. La funcionalidad no requiere autenticación y, aunque no es posible pasar parámetros en la petición SSRF, aún es posible explotarla para conducir un escaneo de puertos. Un atacante podría explotar esta vulnerabilidad para enumerar los recursos asignados en la red (direcciones IP y servicios expuestos). NOTA: MicroStrategy no puede reproducir el problema reportado en ninguna versión de su producto
Vulnerabilidad en el plugin Upload Visualization en el panel de administración de Microstrategy Web (CVE-2020-11451)
Gravedad:
MediaMedia
Publication date: 02/04/2020
Last modified:
09/06/2020
Descripción:
El plugin Upload Visualization en el panel de administración de Microstrategy Web versión 10.4, permite a un administrador cargar un archivo ZIP que contiene archivos con extensiones y datos arbitrarias. (Esto también es explotable por medio de SSRF). Nota: La posibilidad de cargar plugins de visualización requiere privilegios de administrador
Vulnerabilidad en la URL /MicroStrategyWS/happyaxis.jsp en Microstrategy Web (CVE-2020-11450)
Gravedad:
MediaMedia
Publication date: 02/04/2020
Last modified:
09/06/2020
Descripción:
Microstrategy Web versión 10.4, expone la configuración de JVM, la arquitectura de la CPU, la carpeta de instalación y otra información por medio de la URL /MicroStrategyWS/happyaxis.jsp. Un atacante podría usar esta vulnerabilidad para aprender sobre el entorno en el que se ejecuta la aplicación. Este problema ha sido mitigado en todas las versiones del producto 11.0 y superiores
Vulnerabilidad en macOS Catalina de Apple (CVE-2020-3843)
Gravedad:
AltaAlta
Publication date: 27/02/2020
Last modified:
25/06/2020
Descripción:
Se abordó un problema de corrupción de memoria con una comprobación de entrada mejorada. Este problema es corregido en iOS versión 12.4.7, watchOS versión 5.3.7. Un atacante remoto puede ser capaz de causar la terminación inesperada del sistema o corromper la memoria del kernel
Vulnerabilidad en el procesamiento de una imagen en iOS, iPadOS, macOS Catalina, tvOS y watchOS de Apple (CVE-2020-3878)
Gravedad:
MediaMedia
Publication date: 27/02/2020
Last modified:
09/06/2020
Descripción:
Se abordó una lectura fuera de límites con una comprobación de entrada mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina version 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. iTunes versión 12.10.7 para Windows, iCloud para Windows versión 11.2, iCloud para Windows versión 7.19. El procesamiento de una imagen diseñada maliciosamente puede causar una ejecución de código arbitrario.