Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un archivo YAML de definición de flujo de trabajo en OpenStack Mistral (CVE-2018-16848)
Gravedad:
MediaMedia
Publication date: 15/06/2020
Last modified:
17/06/2020
Descripción:
Una condición de Denegación de Servicio (DoS) es posible en OpenStack Mistral en versiones hasta 7.0.3 incluyéndola. Enviar un archivo YAML de definición de flujo de trabajo especialmente diseñado que contenga anclas anidadas puede conllevar a un agotamiento de recursos que culmina en una denegación de servicio
Vulnerabilidad en public/pages/kumbia en el parámetro PATH_INFO en modo Development en KumbiaPHP (CVE-2020-14146)
Gravedad:
BajaBaja
Publication date: 15/06/2020
Last modified:
17/06/2020
Descripción:
KumbiaPHP versiones hasta 1.1.1, en modo Development, permite un ataque de tipo XSS por medio del parámetro PATH_INFO de public/pages/kumbia
Vulnerabilidad en la acción st_dev_connect, st_dev_disconnect o st_dev_rconnect en la clave wan_type en el archivo apply.cgi en la función POSTing en los dispositivos TRENDnet TEW-827DRU (CVE-2020-14076)
Gravedad:
MediaMedia
Publication date: 15/06/2020
Last modified:
17/06/2020
Descripción:
Los dispositivos TRENDnet TEW-827DRU versiones hasta 2.06B04, contienen un desbordamiento de búfer en la región stack de la memoria en el binario ssi. El desbordamiento permite a un usuario autenticado ejecutar código arbitrario en la función POSTing en el archivo apply.cgi por medio de la acción st_dev_connect, st_dev_disconnect o st_dev_rconnect en la clave wan_type lo suficientemente larga
Vulnerabilidad en la acción pppoe_connect, ru_pppoe_connect o dhcp_connect en la clave wan_ifname en el archivo apply.cgi en los dispositivos TRENDnet TEW-827DRU (CVE-2020-14075)
Gravedad:
AltaAlta
Publication date: 15/06/2020
Last modified:
17/06/2020
Descripción:
Los dispositivos TRENDnet TEW-827DRU versiones hasta 2.06B04, contienen múltiples inyecciones de comandos en el archivo apply.cgi por medio de la acción pppoe_connect, ru_pppoe_connect o dhcp_connect en la clave wan_ifname (o wan0_dns), permitiendo a un usuario autenticado ejecutar comandos arbitrarios en el dispositivo
Vulnerabilidad en la acción set_sta_enrollee_pin_wifi1 en la clave de wps_sta_enrollee_pin en el archivo apply_sec.cgi en la función POSTing en los dispositivos TRENDnet TEW-827DRU (CVE-2020-14077)
Gravedad:
MediaMedia
Publication date: 15/06/2020
Last modified:
17/06/2020
Descripción:
Los dispositivos TRENDnet TEW-827DRU versiones hasta 2.06B04, contienen un desbordamiento de búfer en la región stack de la memoria en el binario ssi. El desbordamiento permite a un usuario autenticado ejecutar código arbitrario en la función POSTing en el archivo apply_sec.cgi por medio de la acción set_sta_enrollee_pin_wifi1 (o set_sta_enrollee_pin_wifi0) con una clave de wps_sta_enrollee_pin lo suficientemente larga
Vulnerabilidad en la acción wifi_captive_portal_login en la clave de REMOTE_ADDR en el archivo apply_sec.cgi en la función POSTing en los dispositivos TRENDnet TEW-827DRU (CVE-2020-14078)
Gravedad:
MediaMedia
Publication date: 15/06/2020
Last modified:
17/06/2020
Descripción:
Los dispositivos TRENDnet TEW-827DRU versiones hasta 2.06B04, contienen un desbordamiento de búfer en la región stack de la memoria en el binario ssi. El desbordamiento permite a un usuario autenticado ejecutar código arbitrario en la función POSTing en el archivo apply_sec.cgi por medio de la acción wifi_captive_portal_login con una clave de REMOTE_ADDR lo suficientemente larga
Vulnerabilidad en la acción auto_up_fw en la clave de update_file_name en el archivo apply_sec.cgi en la función POSTing en los dispositivos TRENDnet TEW-827DRU (CVE-2020-14079)
Gravedad:
MediaMedia
Publication date: 15/06/2020
Last modified:
17/06/2020
Descripción:
Los dispositivos TRENDnet TEW-827DRU versiones hasta 2.06B04, contienen un desbordamiento de búfer en la región stack de la memoria en el binario ssi. El desbordamiento permite a un usuario autenticado ejecutar código arbitrario en la función POSTing en el archivo apply_sec.cgi por medio de la acción auto_up_fw (o auto_up_lp) con una clave de update_file_name lo suficientemente larga
Vulnerabilidad en la acción ping_test en la clave de ping_ipaddr en el archivo apply_sec.cgi en la función POSTing en los dispositivos TRENDnet TEW-827DRU (CVE-2020-14080)
Gravedad:
AltaAlta
Publication date: 15/06/2020
Last modified:
17/06/2020
Descripción:
Los dispositivos TRENDnet TEW-827DRU versiones hasta 2.06B04, contienen un desbordamiento de búfer en la región stack de la memoria en el binario ssi. El desbordamiento permite a un usuario no autenticado ejecutar código arbitrario en la función POSTing en el archivo apply_sec.cgi por medio de la acción ping_test con una clave de ping_ipaddr lo suficientemente larga
Vulnerabilidad en la acción send_log_email en la clave auth_acname en el archivo apply.cgi en los dispositivos TRENDnet TEW-827DRU (CVE-2020-14081)
Gravedad:
AltaAlta
Publication date: 15/06/2020
Last modified:
17/06/2020
Descripción:
Los dispositivos TRENDnet TEW-827DRU versiones hasta 2.06B04, contienen múltiples inyecciones de comandos en el archivo apply.cgi por medio de la acción send_log_email en la clave auth_acname (o auth_passwd), permitiendo a un usuario autenticado ejecutar comandos arbitrarios en el dispositivo
CVE-2020-10732
Gravedad:
BajaBaja
Publication date: 12/06/2020
Last modified:
15/09/2020
Descripción:
Se encontró un fallo en la implementación de los volcados de núcleo del Userspace del kernel de Linux. Este fallo permite a un atacante con una cuenta local bloquear un programa trivial y exfiltrar datos privados del kernel

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en GNU Bison (CVE-2020-14150)
Gravedad:
BajaBaja
Publication date: 15/06/2020
Last modified:
30/08/2020
Descripción:
GNU Bison en versiones anteriores a la 3.5.4 permite a los atacantes causar una denegación de servicio (bloqueo de la aplicación). NOTA: hay un riesgo sólo si Bison se usa con una entrada no confiable, y un error observado resulta causar un comportamiento inseguro con un compilador/arquitectura específico. Los informes de errores estaban destinados a mostrar que un choque puede ocurrir en el propio Bison, no que un choque puede ocurrir en el código que es generado por Bison