Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en paquetes de red en el servicio webserver en Easergy T300 (CVE-2020-7504)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
17/06/2020
Descripción:
Una CWE-20: Se presenta una vulnerabilidad de Comprobación de Entrada Inapropiada en Easergy T300 (versiones de Firmware 1.5.2 y anteriores) que podría permitir a un atacante deshabilitar el servicio webserver en el dispositivo cuando son enviados paquetes de red especialmente diseñados
Vulnerabilidad en los datos de configuración en Easergy T300 (CVE-2020-7513)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
17/06/2020
Descripción:
Una CWE-312: Se presenta una vulnerabilidad de Almacenamiento de Información Confidencial en Texto Sin Cifrar en Easergy T300 (versión de Firmware 1.5.2 y anteriores), que podría permitir a un atacante interceptar el tráfico y leer los datos de configuración
Vulnerabilidad en una contraseña en Easergy T300 (CVE-2020-7511)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
17/06/2020
Descripción:
Una CWE-327: Se presenta una vulnerabilidad de Uso de un Algoritmo Criptográfico Roto o Riesgoso en Easergy T300 (versiones de Firmware 1.5.2 y anteriores) que podría permitir a un atacante obtener una contraseña mediante fuerza bruta
Vulnerabilidad en claves privadas en Easergy T300 (CVE-2020-7510)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
17/06/2020
Descripción:
Una CWE-200: Se presenta una vulnerabilidad de Exposición de Información en Easergy T300 (versiones de Firmware 1.5.2 y anteriores) que podría permitir a un atacante obtener claves privadas
Vulnerabilidad en la administración de privilegios en Easergy T300 (CVE-2020-7509)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
17/06/2020
Descripción:
Una CWE-269: Se presenta una vulnerabilidad de administración de privilegios inapropiada (escritura) en Easergy T300 (versiones de Firmware 1.5.2 y anteriores) que podría permitir a un atacante elevar sus privilegios y eliminar archivos
Vulnerabilidad en Restricción de Intentos de Autenticación en Easergy T300 (CVE-2020-7508)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
17/06/2020
Descripción:
Una CWE-307: Se presenta una vulnerabilidad de Restricción Inapropiada de Intentos de Autenticación Excesiva en Easergy T300 (versiones de Firmware 1.5.2 y anteriores) que podría permitir a un atacante conseguir acceso total mediante fuerza bruta
Vulnerabilidad en el inicio de sesión en Easergy T300 (CVE-2020-7507)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
17/06/2020
Descripción:
Una CWE-400: Se presenta una vulnerabilidad de Consumo de Recursos No controlados en Easergy T300 (versiones de Firmware 1.5.2 y anteriores) que podría permitir a un atacante iniciar sesión varias veces, resultando en una denegación de servicio
Vulnerabilidad en archivador tar en Easergy T300 (CVE-2020-7506)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
17/06/2020
Descripción:
Una CWE-538: Se presenta una vulnerabilidad de Exposición de Información de Archivos y Directorios en Easergy T300 (versiones de Firmware 1.5.2 y anteriores) que podría permitir a un atacante paquetizar o despaquetizar el archivo con el firmware para el controlador y módulos utilizando el archivador tar habitual, resultando en una exposición de información
Vulnerabilidad en Descarga de Código en Easergy T300 (CVE-2020-7505)
Gravedad:
AltaAlta
Publication date: 16/06/2020
Last modified:
17/06/2020
Descripción:
Una CWE-494: Se presenta una vulnerabilidad de Descarga de Código Sin Comprobación de Integridad en Easergy T300 (versiones de Firmware 1.5.2 y anteriores) que podría permitir a un atacante inyectar datos con contenido peligroso en el firmware y ejecutar código arbitrario en el sistema
Vulnerabilidad en datos del token xsrf en Easergy T300 (CVE-2020-7503)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
17/06/2020
Descripción:
Una CWE-352: Se presenta una vulnerabilidad de tipo Cross-Site Request Forgery (CSRF) en Easergy T300 (versiones de Firmware 1.5.2 y anteriores) que podría permitir a un atacante ejecutar comandos maliciosos en nombre de un usuario legítimo cuando se interceptan datos del token xsrf
Vulnerabilidad en archivo del proyecto en un Comando SQL en EcoStruxure Operator Terminal Expert (CVE-2020-7493)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
17/06/2020
Descripción:
Una CWE-89: Una vulnerabilidad de Neutralización Inapropiada de Elementos Especiales utilizados en un Comando SQL ("SQL Injection) en EcoStruxure Operator Terminal Expert versiones 3.1 Service Pack 1 y anteriores (anteriormente conocido como Vijeo XD) que podría causar una ejecución de código malicioso cuando se abre el archivo del proyecto
CVE-2020-8542
Gravedad:
BajaBaja
Publication date: 16/06/2020
Last modified:
21/08/2020
Descripción:
OX App Suite versiones hasta 7.10.3, permite un ataque de tipo XSS
Vulnerabilidad en OX App Suite (CVE-2020-8544)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
17/06/2020
Descripción:
OX App Suite versiones hasta 7.10.3, permite un ataque de tipo SSRF
Vulnerabilidad en OX App Suite (CVE-2020-8543)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
17/06/2020
Descripción:
OX App Suite versiones hasta 7.10.3, presenta una Comprobación de Entrada Inapropiada
Vulnerabilidad en OX App Suite (CVE-2020-8541)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
17/06/2020
Descripción:
OX App Suite versiones hasta 7.10.3, permite ataques de tipo XXE
Vulnerabilidad en claves privadas criptográficas compartidas en SSH y HTTPS en dispositivos GeoVision Door Access Control (CVE-2020-3929)
Gravedad:
MediaMedia
Publication date: 12/06/2020
Last modified:
17/06/2020
Descripción:
La familia de dispositivos GeoVision Door Access Control emplea claves privadas criptográficas compartidas para SSH y HTTPS. Los atacantes pueden conducir ataques MITM con las claves derivadas y recuperan texto plano de mensajes cifrados

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en un número grande en una subcadena (?C en libpcre en PCRE (CVE-2020-14155)
Gravedad:
MediaMedia
Publication date: 15/06/2020
Last modified:
12/11/2020
Descripción:
libpcre en PCRE versiones anteriores a 8.44, permite un desbordamiento de enteros por medio de un número grande después de una subcadena (?C
Vulnerabilidad en el archivo drivers/tty/vt/keyboard.c en la función k_ascii en el kernel de Linux (CVE-2020-13974)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
15/09/2020
Descripción:
** EN DISPUTA ** Se detectó un problema en el kernel de Linux versiones hasta 5.7.1. En el archivo drivers/tty/vt/keyboard.c presenta un desbordamiento de enteros si se llama a la función k_ascii varias veces seguidas, también se conoce como CID-b86dab054059. NOTA: Los miembros de la comunidad argumentan que el desbordamiento de números enteros no conduce a un problema de seguridad en este caso