Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en una petición web en Microsoft SharePoint Server (CVE-2020-1297)
Gravedad:
BajaBaja
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se presenta una vulnerabilidad de tipo cross-site-scripting (XSS) cuando Microsoft SharePoint Server no sanea apropiadamente una petición web especialmente diseñada en un servidor SharePoint afectado, también se conoce como "Microsoft Office SharePoint XSS Vulnerability". Este ID de CVE es único de CVE-2020-1177, CVE-2020-1183, CVE-2020-1298, CVE-2020-1318, CVE-2020-1320
Vulnerabilidad en un archivo PDF en iOS, iPadOS, macOS Catalina, tvOS, watchOS en Apple (CVE-2020-9816)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se abordó un problema de escritura fuera de límites con una comprobación de límites mejorada. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Al abrir un archivo PDF diseñado con fines maliciosos puede conllevar a una finalización inesperada de la aplicación o una ejecución de código arbitraria
Vulnerabilidad en la importación de una invitación de calendario en macOS Catalina de Apple (CVE-2020-3882)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Este problema se abordó con comprobaciones mejoradas. Este problema es corregido en macOS Catalina versión 10.15.5. La importación de una invitación de calendario diseñada con fines maliciosos puede filtrar información del usuario
Vulnerabilidad en un dispositivo USB en iOS, iPadOS y macOS Catalina de Apple (CVE-2020-9792)
Gravedad:
BajaBaja
Publication date: 09/06/2020
Last modified:
11/06/2020
Descripción:
Se abordó un problema de comprobación con un saneamiento de la entrada mejorado. Este problema es corregido en iOS versión 13.5 y iPadOS versión 13.5, macOS Catalina versión 10.15.5. Un dispositivo USB puede ser capaz de causar una denegación de servicio
Vulnerabilidad en la ejecución especulativa en las implementaciones principales de Arm Armv8-A (CVE-2020-13844)
Gravedad:
BajaBaja
Publication date: 08/06/2020
Last modified:
11/06/2020
Descripción:
Las implementaciones principales de Arm Armv8-A, que usan la ejecución especulativa más allá de los cambios incondicionales en el flujo de control pueden permitir una divulgación no autorizada de información a un atacante con acceso de usuario local por medio de un análisis de canal lateral, también se conoce como "straight-line speculation."
Vulnerabilidad en procesamiento de mensajes que incluyen GIF animados en Zoom Client (CVE-2020-6109)
Gravedad:
AltaAlta
Publication date: 08/06/2020
Last modified:
11/06/2020
Descripción:
Se presenta una vulnerabilidad de salto de ruta explotable en Zoom Client, la versión 4.6.10 procesa mensajes que incluyen GIF animados. Un mensaje de chat especialmente diseñado puede causar una escritura de archivo arbitraria, que podría ser abusada para lograr una ejecución de código arbitraria. Un atacante debe enviar un mensaje especialmente diseñado a un usuario o grupo objetivo para explotar esta vulnerabilidad
Vulnerabilidad en el motor de procesamiento de syslog de Cisco Identity Services Engine (ISE) (CVE-2020-3353)
Gravedad:
MediaMedia
Publication date: 03/06/2020
Last modified:
11/06/2020
Descripción:
Una vulnerabilidad en el motor de procesamiento de syslog de Cisco Identity Services Engine (ISE), podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) sobre un dispositivo afectado. La vulnerabilidad es debido a una condición de carrera que puede ocurrir cuando los mensajes syslog son procesados. Un atacante podría explotar esta vulnerabilidad mediante el envío de una alta tasa de mensajes syslog hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar que el proceso Application Server se bloquee, resultando en una condición DoS.
Vulnerabilidad en el componente audit logging de Cisco Digital Network Architecture (DNA) Center (CVE-2020-3281)
Gravedad:
MediaMedia
Publication date: 03/06/2020
Last modified:
11/06/2020
Descripción:
Una vulnerabilidad en el componente audit logging de Cisco Digital Network Architecture (DNA) Center, podría permitir a un atacante remoto autenticado visualizar información confidencial en texto sin cifrar. La vulnerabilidad es debido al almacenamiento de determinadas credenciales sin cifrar. Un atacante podría explotar esta vulnerabilidad accediendo a los registros de auditoría y obteniendo credenciales a las que normalmente no tienen acceso. Una explotación con éxito podría permitir al atacante usar esas credenciales para detectar y administrar dispositivos de red.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo modules/packetizer/hxxx_nal.c en la función hxxx_AnnexB_to_xVC en el reproductor multimedia VideoLAN VLC (CVE-2020-13428)
Gravedad:
MediaMedia
Publication date: 08/06/2020
Last modified:
19/06/2020
Descripción:
Un desbordamiento del búfer en la región heap de la memoria en la función hxxx_AnnexB_to_xVC en el archivo modules/packetizer/hxxx_nal.c en el reproductor multimedia VideoLAN VLC en versines anteriores a la 3.0.11 para macOS/iOS permite a los atacantes remotos causar una denegación de servicio (bloqueo de la aplicación) o ejecutar un código arbitrario a través de un archivo de vídeo H.264 Anexo-B elaborado (.avi por ejemplo)