Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en ICMPv4 en la pila de Treck TCP/IP (CVE-2020-11911)
Gravedad:
MediaMedia
Publication date: 17/06/2020
Last modified:
21/07/2020
Descripción:
La pila Treck TCP/IP versiones anteriores a 6.0.1.66, presenta un Control de Acceso de ICMPv4 Inapropiado
Vulnerabilidad en HTML en la configuración "relaxed" en Sanitize (RubyGem sanitize) (CVE-2020-4054)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
19/07/2020
Descripción:
En Sanitize (RubyGem sanitize) versiones mayor o igual a 3.0.0 y menor a 5.2.1, se presenta una vulnerabilidad de tipo cross-site scripting. Cuando se sanea HTML usando la configuración "relaxed" de Sanitize, o una configuración personalizada que permite determinados elementos, algún contenido en un elemento math o svg puede no ser saneado correctamente incluso si math y svg no están en la lista de permitidos. Es probable que sea vulnerable a este problema si usa la configuración relaxed de Sanitize o una configuración personalizada que permite uno o más de los siguientes elementos HTML: iframe, math, noembed, noframes, noscript, plaintext, script, style, svg, xmp. Usando entradas cuidadosamente diseñada, un atacante puede infiltrar HTML arbitrario por medio de Sanitize, resultando potencialmente en un ataque de tipo XSS (cross-site scripting) u otro comportamiento no deseado cuando ese HTML es renderizado en un navegador. Esto se ha corregido en la versión 5.2.1
Vulnerabilidad en el producto Micro Focus ArcSight Management Center (CVE-2020-11838)
Gravedad:
BajaBaja
Publication date: 16/06/2020
Last modified:
19/06/2020
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en el producto Micro Focus ArcSight Management Center, afectando a las versiones 2.6.1, 2.7.x, 2.8.x, y 2.9.x anteriores a 2.9.4. Las vulnerabilidades podrían ser explotadas remotamente, resultando en un ataque de tipo cross-site scripting (XSS) o una divulgación de información
Vulnerabilidad en el producto Micro Focus ArcSight Enterprise Security Manager (ESM) (CVE-2020-9522)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
19/06/2020
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en el producto Micro Focus ArcSight Enterprise Security Manager (ESM), afectando a las versiones 7.0.x, 7.2 y 7.2.1. Las vulnerabilidades podrían ser explotadas remotamente, resultando en un ataque de tipo Cross-Site Scripting (XSS) o una divulgación de información
Vulnerabilidad en un archivo JNLP en DigDash (CVE-2020-13652)
Gravedad:
MediaMedia
Publication date: 15/06/2020
Last modified:
19/06/2020
Descripción:
Se detectó un problema en DigDash versiones 2018R2 anteriores a p20200528, versiones 2019R1 anteriores a p20200421 y versiones 2019R2 anteriores a p20200430. Permite al usuario proporcionar datos que se utilizarán para generar el archivo JNLP utilizado por un cliente para obtener la aplicación Java correcta. Al proporcionar una URL controlada por el atacante, el cliente obtendrá un archivo JNLP falso que especifica la instalación de archivos JAR maliciosos y se ejecutará con todos los privilegios en la computadora del cliente
Vulnerabilidad en /wp-admin en la página temas en WordPress (CVE-2020-4049)
Gravedad:
BajaBaja
Publication date: 12/06/2020
Last modified:
11/09/2020
Descripción:
En las versiones afectadas de WordPress, cuando se cargan temas, el nombre de la carpeta temas puede ser diseñada en una manera que podría conllevar a una ejecución de JavaScript en /wp-admin en la página temas. Esto requiere un administrador para cargar el tema, y ??es un ataque de tipo self-XSS de baja gravedad. Esto ha sido parcheado en la versión 5.4.2, junto con todas las versiones afectadas anteriormente por medio de una versión menor (versiones 5.3.4, 5.2.7, 5.1.6, 5.0.10, 4.9.15, 4.8.14, 4.7.18, 4.6.19, 4.5.22, 4.4.23, 4.3.24, 4.2.28, 4.1.31, 4.0.31, 3.9.32, 3.8.34, 3.7.34)
Vulnerabilidad en el motor VBScript de Microsoft (CVE-2020-1260)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
19/06/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en la manera en que el motor VBScript maneja objetos en memoria, también se conoce como "VBScript Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2020-1213, CVE-2020-1214, CVE-2020-1215, CVE-2020-1216, CVE-2020-1230
Vulnerabilidad en el kernel de Microsoft Windows (CVE-2020-1262)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
19/06/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el kernel de Windows presenta un fallo al manejar apropiadamente objetos en memoria, también se conoce como "Windows Kernel Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-0986, CVE-2020-1237, CVE-2020-1246, CVE-2020-1264, CVE-2020-1266, CVE-2020-1269, CVE-2020-1273, CVE- 2020-1274, CVE-2020-1275, CVE-2020-1276, CVE-2020-1307, CVE-2020-1316
Vulnerabilidad en el kernel de Microsoft Windows (CVE-2020-1269)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
19/09/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el kernel de Windows presenta un fallo al manejar apropiadamente objetos en memoria, también se conoce como "Windows Kernel Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-0986, CVE-2020-1237, CVE-2020-1246, CVE-2020-1262, CVE-2020-1264, CVE-2020-1266, CVE-2020-1273, CVE- 2020-1274, CVE-2020-1275, CVE-2020-1276, CVE-2020-1307, CVE-2020-1316
Vulnerabilidad en las operaciones de archivos en Windows Backup Service de Microsoft (CVE-2020-1271)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
19/06/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el Windows Backup Service maneja inapropiadamente las operaciones de archivo. Para explotar esta vulnerabilidad, un atacante primero tendría que conseguir una ejecución en el sistema víctima, también se conoce como "Windows Backup Service Elevation of Privilege Vulnerability"
Vulnerabilidad en carga de la biblioteca en el Windows Installer de Microsoft (CVE-2020-1272)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
19/06/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en el Windows Installer cuando el Windows Installer no puede sanear apropiadamente la entrada que conlleva a un comportamiento no seguro de carga de la biblioteca. Un atacante autenticado localmente podría ejecutar código arbitrario con privilegios system elevados, también se conoce como "Windows Installer Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-1277, CVE-2020-1302, CVE-2020-1312
Vulnerabilidad en los controladores de audio DCHU en las plataformas de Lenovo en la aplicación Synaptics Smart Audio UWP (CVE-2020-8337)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
19/06/2020
Descripción:
Se reportó una vulnerabilidad de ruta de búsqueda sin comillas en versiones anteriores a 1.0.83.0 de la aplicación Synaptics Smart Audio UWP asociada con los controladores de audio DCHU en las plataformas de Lenovo que podrían permitir a un usuario administrativo ejecutar código arbitrario

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en los nombres de usuario numéricos en systemd (CVE-2020-13776)
Gravedad:
MediaMedia
Publication date: 03/06/2020
Last modified:
30/07/2020
Descripción:
systemd versiones hasta v245 maneja inapropiadamente los nombres de usuario numéricos, tales como los compuestos por dígitos decimales o 0x seguidos de dígitos hexadecimales, como es demostrado por el uso de privilegios root cuando era previsto privilegios de la cuenta de usuario 0x0. NOTA: este problema se presenta debido a una corrección incompleta para CVE-2017-1000082.