Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en una petición web en Microsoft SharePoint Server (CVE-2020-1320)
Gravedad:
BajaBaja
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se presenta una vulnerabilidad de tipo cross-site-scripting (XSS) cuando Microsoft SharePoint Server no sanea apropiadamente una petición web especialmente diseñada en un servidor SharePoint afectado, también se conoce como "Microsoft Office SharePoint XSS Vulnerability". Este ID de CVE es diferente de CVE-2020-1177, CVE-2020-1183, CVE-2020-1297, CVE-2020-1298, CVE-2020-1318
Vulnerabilidad en una petición web en Microsoft SharePoint Server (CVE-2020-1318)
Gravedad:
BajaBaja
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se presenta una vulnerabilidad de tipo cross-site-scripting (XSS) cuando Microsoft SharePoint Server no sanea apropiadamente una petición web especialmente diseñada en un servidor SharePoint afectado, también se conoce como "Microsoft Office SharePoint XSS Vulnerability". Este ID de CVE es diferente de CVE-2020-1177, CVE-2020-1183, CVE-2020-1297, CVE-2020-1298, CVE-2020-1320
Vulnerabilidad en una petición web en Microsoft SharePoint Server (CVE-2020-1298)
Gravedad:
BajaBaja
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se presenta una vulnerabilidad de tipo cross-site-scripting (XSS) cuando Microsoft SharePoint Server no sanea apropiadamente una petición web especialmente diseñada en un servidor SharePoint afectado, también se conoce como "Microsoft Office SharePoint XSS Vulnerability". Este ID de CVE es único de CVE-2020-1177, CVE-2020-1183, CVE-2020-1297, CVE-2020-1318, CVE-2020-1320
Vulnerabilidad en Windows Runtime de Microsoft (CVE-2020-1235)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando Windows Runtime maneja inapropiadamente objetos en memoria, también se conoce como "Windows Runtime Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-1231, CVE-2020-1233, CVE-2020-1265, CVE-2020-1282, CVE-2020-1304, CVE-2020-1306, CVE-2020-1334
Vulnerabilidad en Linux y FreeBSD en AnyDesk (CVE-2020-13160)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
03/07/2020
Descripción:
AnyDesk versiones anteriores a 5.5.3 en Linux y FreeBSD presenta una vulnerabilidad de cadena de formato que puede ser explotada para una ejecución de código remota
Vulnerabilidad en la opción de configuración "Require Node Resp" en el componente file transfer de TIBCO Managed File Transfer Platform Server para IBM i de TIBCO Software Inc (CVE-2020-9411)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
El componente file transfer de TIBCO Managed File Transfer Platform Server para IBM i de TIBCO Software Inc, contiene una vulnerabilidad que teóricamente permite a un atacante llevar a cabo transferencias de archivos de red no autorizadas hacia y desde el sistema de archivos accesible al componente afectado. Esta vulnerabilidad es explotable cuando la opción de configuración "Require Node Resp" está establecida en "No". En el caso de una explotación con éxito, el atacante podría leer y escribir teóricamente cualquier archivo en el sistema de archivos accesible para el componente afectado, afectando así completamente la confidencialidad, integridad y disponibilidad del sistema operativo que aloja la implementación del sistema afectado. Las versiones afectadas son TIBCO Managed File Transfer Platform Server para IBM i de TIBCO Software Inc: versiones 7.1.0 y posteriores, versión 8.0.0
Vulnerabilidad en el componente file transfer de TIBCO Managed File Transfer Platform Server para IBM i de TIBCO Software Inc (CVE-2020-9412)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
El componente file transfer de TIBCO Managed File Transfer Platform Server para IBM i de TIBCO Software Inc, contiene una vulnerabilidad que teóricamente permite una ejecución de comandos arbitraria en el nivel de privilegio del sistema afectado después de una transferencia de archivos fallida. Las versiones afectadas son TIBCO Managed File Transfer Platform Server para IBM i de TIBCO Software Inc: versiones 7.1.0 y posteriores, versión 8.0.0
Vulnerabilidad en iOS, iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-9793)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se abordó un problema de corrupción de la memoria con una comprobación de entrada mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Un atacante remoto puede ser capaz de causar una ejecución de código arbitraria
Vulnerabilidad en una aplicación en iOS, iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-9795)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se abordó un problema de un uso de la memoria previamente liberada con una administración de la memoria mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Una aplicación puede ser capaz de ejecutar código arbitrario con privilegios de kernel
Vulnerabilidad en una aplicación en iOS, iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-9797)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se abordó un problema de divulgación de información mediante la eliminación del código vulnerable. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Una aplicación maliciosa puede ser capaz de determinar el diseño de la memoria de otra aplicación
Vulnerabilidad en el procesamiento de un contenido web en iOS, iPadOS, tvOS, watchOS, Safari, iTunes para Windows, iCloud para Windows de Apple (CVE-2020-9800)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se abordó un problema de confusión de tipos con un manejo de la memoria mejorado. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, tvOS versión 13.4.5, watchOS versión 6.2.5, Safari versión 13.1.1, iTunes versión 12.10.7 para Windows, iCloud para Windows versión 11.2, iCloud para Windows versión 7.19. El procesamiento de un contenido web diseñado con fines maliciosos puede conllevar a una ejecución de código arbitraria
Vulnerabilidad en un proceso en Safari para Apple (CVE-2020-9801)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se abordó un problema lógico con restricciones mejoradas. Este problema es corregido en Safari versión 13.1.1. Un proceso malicioso puede causar que Safari inicie una aplicación
Vulnerabilidad en el procesamiento de un contenido web en iOS, iPadOS, tvOS, watchOS, Safari, iTunes para Windows, iCloud para Windows de Apple (CVE-2020-9802)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
26/07/2020
Descripción:
Se abordó un problema lógico con restricciones mejoradas. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, tvOS versión 13.4.5, watchOS versión 6.2.5, Safari versión 13.1.1, iTunes versión 12.10.7 para Windows, iCloud para Windows versión 11.2, iCloud para Windows versión 7.19. El procesamiento de un contenido web diseñado con fines maliciosos puede conllevar a una ejecución de código arbitraria
Vulnerabilidad en el procesamiento de un contenido web en iOS, iPadOS, tvOS, watchOS, Safari, iTunes para Windows, iCloud para Windows de Apple (CVE-2020-9803)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
26/07/2020
Descripción:
Se abordó un problema de corrupción de la memoria con una comprobación mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, tvOS versión 13.4.5, watchOS versión 6.2.5, Safari versión 13.1.1, iTunes versión 12.10.7 para Windows, iCloud para Windows versión 11.2, iCloud para Windows versión 7.19. El procesamiento de un contenido web diseñado con fines maliciosos puede conllevar a una ejecución de código arbitraria
Vulnerabilidad en un dispositivo USB que envía mensajes en macOS Catalina de Apple (CVE-2020-9804)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se abordó un problema lógico con restricciones mejoradas. Este problema es corregido en macOS Catalina versión 10.15.5. Insertar un dispositivo USB que envía mensajes no válidos puede causar un pánico del kernel
Vulnerabilidad en el procesamiento de un contenido web en iOS, iPadOS, tvOS, watchOS, Safari, iTunes para Windows, iCloud para Windows de Apple (CVE-2020-9806)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
26/07/2020
Descripción:
Se abordó un problema de corrupción de la memoria con una administración de estado mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, tvOS versión 13.4.5, watchOS versión 6.2.5, Safari versión 13.1.1, iTunes versión 12.10.7 para Windows, iCloud para Windows versión 11.2, iCloud para Windows versión 7.19. El procesamiento de un contenido web diseñado con fines maliciosos puede conllevar a una ejecución de código arbitraria
Vulnerabilidad en el procesamiento de un contenido web en iOS, iPadOS, tvOS, watchOS, Safari, iTunes para Windows, iCloud para Windows de Apple (CVE-2020-9807)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
26/07/2020
Descripción:
Se abordó un problema de corrupción de la memoria con una administración de estado mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, tvOS versión 13.4.5, watchOS versión 6.2.5, Safari versión 13.1.1, iTunes versión 12.10.7 para Windows, iCloud para Windows versión 11.2, iCloud para Windows versión 7.19. El procesamiento de un contenido web diseñado con fines maliciosos puede conllevar a una ejecución de código arbitraria
Vulnerabilidad en una aplicación en iOS, iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-9808)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se abordó un problema de corrupción de la memoria con una administración de estado mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Una aplicación puede ser capaz de causar una finalización inesperada del sistema o escribir la memoria del kernel
Vulnerabilidad en una aplicación en la memoria del kernel en iOS, iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-9809)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se abordó un problema de divulgación de información con una administración de estado mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Una aplicación maliciosa puede ser capaz de determinar el diseño de la memoria del kernel
Vulnerabilidad en la memoria del kernel en iOS, iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-9811)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se abordó un problema de divulgación de información con una administración de estado mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Un usuario local puede ser capaz de leer la memoria del kernel
Vulnerabilidad en una aplicación en iOS, iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-9813)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se presentó un problema lógico que resulta en una corrupción de la memoria. Esto se abordó con una administración de estado mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios de kernel
Vulnerabilidad en una aplicación en iOS, iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-9814)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se presentó un problema lógico resultando en una corrupción de la memoria. Esto fue abordado con una administración de estado mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Una aplicación maliciosa puede ser capaz de ejecutar código arbitrario con privilegios de kernel
Vulnerabilidad en el procesamiento de un archivo de audio en iOS, iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-9815)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
09/07/2020
Descripción:
Se abordó una lectura fuera de límites con una comprobación de límites mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. El procesamiento de un archivo de audio diseñado con fines maliciosos puede conllevar a una ejecución de código arbitraria
Vulnerabilidad en una aplicación en macOS Catalina de Apple (CVE-2020-9817)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se presentó un problema de permisos. Este problema se abordó con una comprobación de permisos mejorada. Este problema es corregido en macOS Catalina versión 10.15.5. Una aplicación maliciosa puede ser capaz de alcanzar privilegios de root
Vulnerabilidad en el procesamiento de un mensaje de correo electrónico en iOS, iPadOS, watchOS de Apple (CVE-2020-9819)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se abordó un problema de consumo de memoria con un manejo de la memoria mejorado. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, iOS 12.4.7, watchOS versión 6.2.5, watchOS 5.3.7. El procesamiento de un mensaje de correo electrónico diseñado con fines maliciosos puede conllevar a una corrupción de la pila
Vulnerabilidad en una aplicación en macOS Catalina de Apple (CVE-2020-9856)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Este problema se abordó con comprobaciones mejoradas. Este problema es corregido en macOS Catalina versión 10.15.5. Una aplicación puede ser capaz de alcanzar privilegios elevados
Vulnerabilidad en un nombre de archivo en la sección de carga de imágenes en OpenCart (CVE-2020-13980)
Gravedad:
BajaBaja
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
** EN DISPUTA ** OpenCart versión 3.0.3.3, permite a usuarios autenticados remotos conducir ataques de tipo XSS por medio de un nombre de archivo diseñado en la sección de carga de imágenes de los usuarios debido a una falta de codificación de la entidad. NOTA: este problema se presenta debido a una corrección incompleta para CVE-2020-10596. El proveedor declara que "Este no es un problema masivo, ya que aún se requiere que inicie sesión en el administrador"
Vulnerabilidad en la cadena domain.name en la ruta de búsqueda del resolutor DNS en los dispositivos D-Link DSL 2730-U y DIR-600M (CVE-2020-13960)
Gravedad:
MediaMedia
Publication date: 08/06/2020
Last modified:
11/06/2020
Descripción:
Los dispositivos D-Link DSL 2730-U versiones IN_1.10 e IN_1.11 y DIR-600M versiones 3.04, poseen la cadena domain.name en la ruta de búsqueda de resolutor DNS por defecto, lo que permite a atacantes remotos proveer respuestas DNS válidas (y también ofrecer servicios de Internet tales como HTTP) para nombres que de otro modo habrían tenido un error NXDOMAIN, al registrar un subdominio del nombre de dominio domain.name
Vulnerabilidad en Esquemas de Intent en el navegador web OpenSearch (CVE-2020-8954)
Gravedad:
MediaMedia
Publication date: 08/06/2020
Last modified:
11/06/2020
Descripción:
El navegador web OpenSearch versión 1.0.4.9, permite el Secuestro de Esquemas de Intent. [un enlace que abre otra aplicación en el navegador puede ser manipulado]
Vulnerabilidad en una subcadena %0A%0D en el URI /saml/login en el parámetro idp en el panel de control en WhiteSource Application Vulnerability Management (AVM) (CVE-2020-5304)
Gravedad:
MediaMedia
Publication date: 08/06/2020
Last modified:
11/06/2020
Descripción:
El panel de control en WhiteSource Application Vulnerability Management (AVM) antes de la versión 20.4.1, permite la Inyección de Registros por medio de una subcadena %0A%0D en el parámetro idp en el URI /saml/login. Esto cierra el registro actual y crea un nuevo registro con una línea de datos. El atacante también puede insertar datos maliciosos y entradas falsas
Vulnerabilidad en el nombre de un archivo adjunto en PHPMailer (CVE-2020-13625)
Gravedad:
MediaMedia
Publication date: 08/06/2020
Last modified:
17/09/2020
Descripción:
PHPMailer versiones anteriores a 6.1.6, contiene un bug de escape de salida cuando el nombre de un archivo adjunto contiene un carácter de comillas dobles. Esto puede resultar en que el tipo de archivo esta siendo malinterpretado por el receptor o que cualquier retransmisión de correo procese el mensaje
Vulnerabilidad en los descriptores de archivo en el DBusServer en libdbus usado en dbus-daemon en dbus (CVE-2020-12049)
Gravedad:
MediaMedia
Publication date: 08/06/2020
Last modified:
26/07/2020
Descripción:
Se detectó un problema en dbus versiones posteriores a 1.3.0 e incluyéndola y anteriores a 1.12.18. El DBusServer en libdbus, como es usado en dbus-daemon, filtra los descriptores de archivo cuando un mensaje excede el límite del descriptor de archivo por mensaje. Un atacante local con acceso al bus del sistema D-Bus o al socket AF_UNIX privado de otro servicio del sistema podría utilizar esto para hacer que el servicio del sistema alcance su límite del descriptor de archivos, negando el servicio a los clientes posteriores de D-Bus
Vulnerabilidad en una petición de la API REST en un navegador en Couchbase Server (CVE-2020-9042)
Gravedad:
MediaMedia
Publication date: 08/06/2020
Last modified:
11/06/2020
Descripción:
En Couchbase Server versión 6.0, las credenciales almacenadas en memoria caché por un navegador pueden ser usadas para llevar a cabo un ataque de tipo CSRF si un administrador ha usado su navegador para comprobar los resultados de una petición de la API REST
Vulnerabilidad en un archivo .exe en SolarWinds Advanced Monitoring Agentdiversos endpoints en Slowloris en Couchbase Server y Couchbase Sync Gateway (CVE-2020-9041)
Gravedad:
MediaMedia
Publication date: 08/06/2020
Last modified:
11/06/2020
Descripción:
En Couchbase Server versión 6.0.3 y Couchbase Sync Gateway versiones hasta 2.7.0, los endpoints de administración del Clúster, vistas, consultas y búsqueda de texto completo son vulnerables al ataque de denegación de servicio de Slowloris porque no terminan más agresivamente las conexiones lentas
Vulnerabilidad en un certificado SSL en el componente Netty de Couchbase Server Java SDK (CVE-2020-9040)
Gravedad:
MediaMedia
Publication date: 08/06/2020
Last modified:
11/06/2020
Descripción:
Couchbase Server Java SDK versiones anteriores a 2.7.1.1, permite a un atacante potencial falsificar un certificado SSL y hacerse pasar por el peer previsto. Un atacante puede aprovechar este fallo al crear un certificado criptográficamente válido que será aceptado por el componente Netty de Java SDK debido a una falta de verificación del nombre de host
Vulnerabilidad en los detalles del artículo en la interfaz externa en los correos enviados desde OTRS (CVE-2020-1775)
Gravedad:
MediaMedia
Publication date: 08/06/2020
Last modified:
11/06/2020
Descripción:
Los destinatarios de BCC en los correos enviados desde OTRS son visibles en los detalles del artículo en la interfaz externa. Este problema afecta a OTRS: versiones 8.0.3 y anteriores, versiones 7.0.17 y anteriores
Vulnerabilidad en un archivo ejecutable en el directorio de instalación en WinGate (CVE-2020-13866)
Gravedad:
AltaAlta
Publication date: 08/06/2020
Last modified:
11/06/2020
Descripción:
WinGate versión v9.4.1.5998, presenta permisos no seguros para el directorio de instalación, lo que permite a usuarios locales alcanzar privilegios mediante el reemplazo de un archivo ejecutable con uno de tipo caballo de Troya
Vulnerabilidad en un comando de talk en Nextcloud Talk (CVE-2020-8180)
Gravedad:
MediaMedia
Publication date: 08/06/2020
Last modified:
11/06/2020
Descripción:
Una comprobación demasiado laxa en Nextcloud Talk versiones 6.0.4, 7.0.2 y 8.0.7, permitió una inyección de código cuando un comando de talk no saneado correctamente fue agregado por parte de un administrador
Vulnerabilidad en los productos Huawei IPS Module; NGFW Module; NIP6300; NIP6600; NIP6800; Secospace USG6300; Secospace USG6500; Secospace USG6600; USG9500 (CVE-2020-9099)
Gravedad:
AltaAlta
Publication date: 08/06/2020
Last modified:
11/06/2020
Descripción:
Los productos Huawei IPS Module; NGFW Module; NIP6300; NIP6600; NIP6800; Secospace USG6300; Secospace USG6500; Secospace USG6600; USG9500 con versiones de V500R001C00; V500R001C20; V500R001C30; V500R001C50; V500R001C60; V500R001C80; V500R005C00; V500R005C10; V500R005C20; V500R002C00; V500R002C10; V500R002C20; V500R002C30, presenta una vulnerabilidad de autenticación inapropiada. Los atacantes necesitan llevar a cabo algunas operaciones para explotar la vulnerabilidad. Una explotación con éxito puede obtener determinados permisos sobre el dispositivo
Vulnerabilidad en una duración EXTINF en el archivo m3u8 en las bibliotecas libavformat/hls.c y libavformat/format.c en las funciones parse_playlist y av_probe_input_format3 en FFmpeg (CVE-2020-13904)
Gravedad:
MediaMedia
Publication date: 07/06/2020
Last modified:
28/07/2020
Descripción:
FFmpeg versión 4.2.3, presenta un uso de la memoria previamente liberada por medio de una duración EXTINF diseñada en un archivo m3u8 porque la función parse_playlist en la biblioteca libavformat/hls.c libera un puntero, y luego este puntero es accedido en la función av_probe_input_format3 en la biblioteca libavformat/format.c
Vulnerabilidad en el resolutor recursivo en XACK DNS (CVE-2020-5591)
Gravedad:
MediaMedia
Publication date: 05/06/2020
Last modified:
11/06/2020
Descripción:
XACK DNS versiones 1.11.0 hasta 1.11.4, versiones 1.10.0 hasta 1.10.8, versiones 1.8.0 hasta 1.8.23, versiones 1.7.0 hasta 1.7.18 y versiones anteriores a 1.7.0, permiten a atacantes remotos causar una condición denegación de servicio resultando en una degradación del rendimiento del resolutor recursivo o comprometiendo el resolutor recursivo como un reflector en un ataque de reflexión
Vulnerabilidad en un comando AT en los dispositivos móviles LG con Sistema Operativo Android (chipsets MTK) (CVE-2020-13842)
Gravedad:
MediaMedia
Publication date: 04/06/2020
Last modified:
11/06/2020
Descripción:
Se detectó un problema en los dispositivos móviles LG con Sistema Operativo Android versiones 7.2, 8.0, 8.1, 9 y 10 (chipsets MTK). Se puso a disposición un comando AT peligroso aunque no se haya usado. El ID de LG es LVE-SMP-200010 (Junio de 2020)
Vulnerabilidad en el manejo de datos nulos en el 3D Plugin Beta para Foxit Reader y PhantomPDF (CVE-2019-20831)
Gravedad:
MediaMedia
Publication date: 04/06/2020
Last modified:
11/06/2020
Descripción:
Se detectó un problema en el 3D Plugin Beta para Foxit Reader y PhantomPDF, versiones anteriores a 9.5.0.20733. Presenta un manejo inapropiado de datos nulos, causando un bloqueo
Vulnerabilidad en los objetos COM en Microsoft Word en Foxit PhantomPDF (CVE-2018-21243)
Gravedad:
MediaMedia
Publication date: 04/06/2020
Last modified:
11/06/2020
Descripción:
Se detectó un problema en Foxit PhantomPDF versiones anteriores a 8.3.6. Presenta un manejo inapropiado de objetos COM cuando es usado Microsoft Word
Vulnerabilidad en una petición HTTP en las políticas de eventos en la API de Cisco Application Services Engine Software (CVE-2020-3333)
Gravedad:
MediaMedia
Publication date: 03/06/2020
Last modified:
11/06/2020
Descripción:
Una vulnerabilidad en la API de Cisco Application Services Engine Software, podría permitir a un atacante remoto no autenticado actualizar las políticas de eventos sobre un dispositivo afectado. La vulnerabilidad es debido a una autenticación insuficiente de los usuarios que modifican las políticas sobre un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad al diseñar una petición HTTP maliciosa para contactar a un dispositivo afectado. Una explotación con éxito podría permitir al atacante actualizar las políticas de eventos en el dispositivo afectado.
Vulnerabilidad en Cisco IOS Software para Cisco 809 y 829 Industrial Integrated Services Routers (Industrial ISRs) y Cisco 1000 Series Connected Grid Routers (CGR1000) (CVE-2020-3258)
Gravedad:
AltaAlta
Publication date: 03/06/2020
Last modified:
11/06/2020
Descripción:
Múltiples vulnerabilidades en Cisco IOS Software para Cisco 809 y 829 Industrial Integrated Services Routers (Industrial ISRs) y Cisco 1000 Series Connected Grid Routers (CGR1000), podrían permitir a un atacante remoto no autenticado o un atacante local autenticado ejecutar código arbitrario sobre un sistema afectado o causar que un sistema afectado se bloquee y vuelva a cargar. Para mayor información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso.
Vulnerabilidad en el entorno de aplicación Cisco IOx de Cisco 809 y 829 Industrial Integrated Services Routers (Industrial ISRs) y Cisco 1000 Series Connected Grid Routers (CGR1000) que ejecutan Cisco IOS Software (CVE-2020-3257)
Gravedad:
MediaMedia
Publication date: 03/06/2020
Last modified:
11/06/2020
Descripción:
Múltiples vulnerabilidades en el entorno de aplicación Cisco IOx de Cisco 809 y 829 Industrial Integrated Services Routers (Industrial ISRs) y Cisco 1000 Series Connected Grid Routers (CGR1000) que ejecuta Cisco IOS Software, podrían permitir a un atacante causar una condición de denegación de servicio (DoS) o ejecutar código arbitrario con privilegios elevados sobre un dispositivo afectado. Para mayor información sobre estas vulnerabilidades, consulte la sección Detalles de este aviso.
Vulnerabilidad en el almacén de claves en Cisco Application Services Engine Software (CVE-2020-3335)
Gravedad:
BajaBaja
Publication date: 03/06/2020
Last modified:
11/06/2020
Descripción:
Una vulnerabilidad en el almacén de claves de Cisco Application Services Engine Software, podría permitir a un atacante local autenticado leer información confidencial de otros usuarios sobre un dispositivo afectado. La vulnerabilidad es debido a limitaciones de autorización insuficientes. Un atacante podría explotar esta vulnerabilidad al iniciar sesión localmente sobre un dispositivo afectado con credenciales válidas. Una explotación con éxito podría permitir al atacante leer la información confidencial de otros usuarios en el dispositivo afectado.
Vulnerabilidad en la Interfaz de Usuario web de Cisco IOS XE Software (CVE-2020-3219)
Gravedad:
AltaAlta
Publication date: 03/06/2020
Last modified:
11/06/2020
Descripción:
Una vulnerabilidad en la Interfaz de Usuario web de Cisco IOS XE Software, podría permitir a un atacante remoto autenticado inyectar y ejecutar comandos arbitrarios con privilegios administrativos en el sistema operativo subyacente de un dispositivo afectado. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario en la Interfaz de Usuario web. Un atacante podría explotar esta vulnerabilidad mediante el envío de una entrada diseñada hacia la Interfaz de Usuario web. Una explotación con éxito podría permitir a un atacante ejecutar comandos arbitrarios con privilegios administrativos sobre un dispositivo afectado.
Vulnerabilidad en un ID de registro en la implementación del adaptador iOS en WatermelonDB (paquete NPM "@nozbe/watermelondb") (CVE-2020-4035)
Gravedad:
MediaMedia
Publication date: 03/06/2020
Last modified:
11/06/2020
Descripción:
En WatermelonDB (paquete NPM "@nozbe/watermelondb") versiones anteriores a 0.15.1 y 0.16.2, un ID de registro diseñado con fines maliciosos puede explotar una vulnerabilidad de inyección SQL en la implementación del adaptador iOS y causar que la aplicación elimine todo o registros seleccionados de la base de datos, por lo general, la aplicación queda inutilizable. Esto puede suceder en aplicaciones que no comprueban los ID (los ID válidos son "/^[a-zA-Z0-9_-.]+$/") y usan Watermelon Sync o el método "database.adapter.destroyDeletedRecords" de bajo nivel . El riesgo de integridad es bajo debido al hecho de que los registros eliminados maliciosamente no se sincronizarán, por lo que el inicio de sesión cerrará todos los datos, aunque algunos cambios locales pueden perderse si la eliminación maliciosa causa que el proceso de sincronización no avance a la etapa de inserción. No se conoce ninguna manera de violar la confidencialidad con esta vulnerabilidad. Una explotación completa de la inyección SQL se mitiga, porque no es posible anidar una consulta de inserción/actualización dentro de una consulta de eliminación en SQLite, y no es posible pasar una segunda consulta separada por punto y coma. Tampoco se conoce una manera práctica de violar la confidencialidad mediante la eliminación selectiva de registros, porque esos registros no se sincronizarán. Teóricamente es posible que la eliminación de registros selectiva pueda hacer que una aplicación se comporte de forma no segura si la falta de un registro para tomar decisiones de seguridad es usada por la aplicación. Esto está parcheado en las versiones 0.15.1, 0.16.2 y 0.16.1-fix

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el procesamiento de un contenido web en iOS, iPadOS, tvOS, watchOS, Safari, iTunes para Windows, iCloud para Windows de Apple (CVE-2020-9805)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
23/09/2020
Descripción:
Se abordó un problema lógico con restricciones mejoradas. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, tvOS versión 13.4.5, watchOS versión 6.2.5, Safari versión 13.1.1, iTunes versión 12.10.7 para Windows, iCloud para Windows versión 11.2, iCloud para Windows versión 7.19. El procesamiento de un contenido web diseñado con fines maliciosos puede conllevar a un ataque de tipo cross site scripting universales
Vulnerabilidad en la memoria del kernel en iOS, iPadOS, macOS Catalina, tvOS, watchOS de Apple (CVE-2020-9812)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
07/07/2020
Descripción:
Se abordó un problema de divulgación de información con una administración de estado mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Un usuario local puede ser capaz de leer la memoria del kernel
Vulnerabilidad en una biblioteca webio.dll en "%PROGRAMDATA%\Citrix\Citrix Workspace ####\" en Citrix Workspace App en Windows (CVE-2020-13885)
Gravedad:
AltaAlta
Publication date: 08/06/2020
Last modified:
12/06/2020
Descripción:
Citrix Workspace App anterior a 1912 en Windows tiene permisos inseguros que permiten a los usuarios locales obtener privilegios durante la desinstalación de la aplicación
Vulnerabilidad en un citrix.exe en %PROGRAMDATA%\Citrix en aplicación Citrix Workspace en Windows (CVE-2020-13884)
Gravedad:
AltaAlta
Publication date: 08/06/2020
Last modified:
12/06/2020
Descripción:
Citrix Workspace App anterior a 1912 en Windows tiene permisos inseguros que permiten a los usuarios locales obtener privilegios durante la desinstalación de la aplicación.
Vulnerabilidad en el archivo testserver.cgi del servicio web en el sistema de archivos local en las Cámaras de Red VIVOTEK (CVE-2020-11949)
Gravedad:
MediaMedia
Publication date: 28/05/2020
Last modified:
10/06/2020
Descripción:
El archivo testserver.cgi del servicio web en las Cámaras de Red VIVOTEK versiones anteriores a XXXXX-VVTK-2.2002.xx.01x (y anteriores a XXXXX-VVTK-0XXXX_Beta2), permite a un usuario autenticado obtener archivos arbitrarios del sistema de archivos local de una cámara. Por ejemplo, esto afecta a los dispositivos IT9388-HT.
Vulnerabilidad en Winmail Server (CVE-2017-9846)
Gravedad:
MediaMedia
Publication date: 24/06/2017
Last modified:
11/06/2020
Descripción:
Winmail Server 6.1 permite ejecución de código remoto por usuarios autentificados quienes aprovechan el directorio transversal en la llamada move_folder_file de netdisk.php para mover un archivo -php de la carpeta FTP a la carpeta web.
Vulnerabilidad en script FeedProxy.aspx en Umbraco (CVE-2012-1301)
Gravedad:
AltaAlta
Publication date: 13/04/2017
Last modified:
11/06/2020
Descripción:
El script FeedProxy.aspx en Umbraco 4.7.0 permite a los atacantes remotos a las solicitudes de proxy en su nombre a través del parámetro "url".
Vulnerabilidad en Knot DNS (CVE-2016-6171)
Gravedad:
MediaMedia
Publication date: 09/02/2017
Last modified:
11/06/2020
Descripción:
Knot DNS en versiones anteriores a 2.3.0 permite a servidores DNS remotos provocar una denegación de servicio (agotamiento de memoria y caída del servidor esclavo) a través de una transferencia de zona grande para (1) DDNS, (2) AXFR o (3) IXFR.