Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14435)
Gravedad:
MediaMedia
Publication date: 18/06/2020
Last modified:
19/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un atacante no autenticado. Esto afecta a SRK60 antes de 2.5.2.104, SRS60 antes de 2.5.2.104, SRR60 antes de 2.5.2.104, SRK60B03 antes de 2.5.2.104, SRK60B04 antes de 2.5.2.104, SRK60B05 antes de 2.5.2.104 y SRK60B06 antes de 2.5.2.104
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14426)
Gravedad:
BajaBaja
Publication date: 18/06/2020
Last modified:
19/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una divulgación de credenciales administrativas. Esto afecta a RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores a 3.2.10.11, RBK853 versiones anteriores a 3.2.10.11, RBR850 versiones anteriores a 3.2.10.11, RBS850 versiones anteriores a 3.2.10.11, RBK842 versiones anteriores a 3.2.10.11, RBR840 versiones anteriores a 3.2.10.11 y RBS840 versiones anteriores a 3.2.10.11
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14427)
Gravedad:
BajaBaja
Publication date: 18/06/2020
Last modified:
19/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una divulgación de credenciales administrativas. Esto afecta a RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBK842 versiones anteriores a 3.2.15.25, RBR840 versiones anteriores a 3.2.15.25, RBS840 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores a 3.2.15.25, RBK853 versiones anteriores a 3.2.15.25, RBR850 versiones anteriores a 3.2.15.25 y RBS850 versiones anteriores a 3.2.15.25
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14428)
Gravedad:
BajaBaja
Publication date: 18/06/2020
Last modified:
19/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una divulgación de credenciales administrativas. Esto afecta a RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBK842 versiones anteriores a 3.2.15.25, RBR840 versiones anteriores a 3.2.15.25, RBS840 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores a 3.2.15.25, RBK853 versiones anteriores a 3.2.15.25, RBR850 versiones anteriores a 3.2.15.25 y RBS850 versiones anteriores a 3.2.15.25
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14429)
Gravedad:
MediaMedia
Publication date: 18/06/2020
Last modified:
19/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una divulgación de credenciales administrativas. Esto afecta a MK62 versiones anteriores a 1.0.4.92, MK63 versiones anteriores a 1.0.4.92, MR60 versiones anteriores a 1.0.4.92, MS60 versiones anteriores a 1.0.4.92, RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBK842 versiones anteriores a 3.2.15.25, RBR840 versiones anteriores a 3.2.15.25, RBS840 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores a 3.2.15.25, RBK853 versiones anteriores a 3.2.15.25, RBR850 versiones anteriores a 3.2.15.25 y RBS850 versiones anteriores a 3.2.15.25
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14430)
Gravedad:
BajaBaja
Publication date: 18/06/2020
Last modified:
19/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una divulgación de credenciales administrativas. Esto afecta a RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBK842 versiones anteriores a 3.2.15.25, RBR840 versiones anteriores a 3.2.15.25, RBS840 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores a 3.2.15.25, RBK853 versiones anteriores a 3.2.15.25, RBR850 versiones anteriores a 3.2.15.25 y RBS850 versiones anteriores a 3.2.15.25
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14431)
Gravedad:
BajaBaja
Publication date: 18/06/2020
Last modified:
19/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una divulgación de credenciales administrativas. Esto afecta a RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBK842 versiones anteriores a 3.2.15.25, RBR840 versiones anteriores a 3.2.15.25, RBS840 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores a 3.2.15.25, RBK853 versiones anteriores a 3.2.15.25, RBR850 versiones anteriores a 3.2.15.25 y RBS850 versiones anteriores a 3.2.15.25
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14433)
Gravedad:
MediaMedia
Publication date: 18/06/2020
Last modified:
19/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un usuario autenticado. Esto afecta a RBK852 versiones anteriores a 3.2.15.25, RBK853 versiones anteriores a 3.2.15.25, RBK842 versiones anteriores a 3.2.15.25, RBR850 versiones anteriores a 3.2.15.25, RBS850 versiones anteriores a 3.2.15.25, RBR840 versiones anteriores a 3.2.15.25, RBS840 versiones anteriores a 3.2.15.25, RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25 y RBS750 versiones anteriores a 3.2.15.25
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14434)
Gravedad:
AltaAlta
Publication date: 18/06/2020
Last modified:
19/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un usuario autenticado. Esto afecta a RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores a 3.2.15.25, RBK853 versiones anteriores a 3.2.15.25, RBR850 versiones anteriores a 3.2.15.25, RBS850 versiones anteriores a 3.2.15.25, RBK842 versiones anteriores a 3.2.15.25, RBR840 versiones anteriores a 3.2.15.25 y RBS840 versiones anteriores a 3.2.15.25
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14436)
Gravedad:
MediaMedia
Publication date: 18/06/2020
Last modified:
19/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un atacante no autenticado. Esto afecta a RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores a 3.2.15.25, RBK853 versiones anteriores a 3.2.15.25, RBR850 versiones anteriores a 3.2.15.25, RBS850 versiones anteriores a 3.2.15.25, RBK842 versiones anteriores a 3.2.15.25, RBR840 versiones anteriores a 3.2.15.25 y RBS840 versiones anteriores a 3.2.15.25
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14437)
Gravedad:
MediaMedia
Publication date: 18/06/2020
Last modified:
18/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un atacante no autenticado. Esto afecta a RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBK842 versiones anteriores a 3.2.15.25, RBR840 versiones anteriores a 3.2.15.25, RBS840 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores a 3.2.15.25, RBK853 versiones anteriores a 3.2.15.25, RBR850 versiones anteriores a 3.2.15.25 y RBS850 versiones anteriores a 3.2.15.25
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14438)
Gravedad:
MediaMedia
Publication date: 18/06/2020
Last modified:
18/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un atacante no autenticado. Esto afecta a RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBK842 versiones anteriores a 3.2.15.25, RBR840 versiones anteriores a 3.2.15.25, RBS840 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores a 3.2.15.25, RBK853 versiones anteriores a 3.2.15.25, RBR850 versiones anteriores a 3.2.15.25 y RBS850 versiones anteriores a 3.2.15.25
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14439)
Gravedad:
MediaMedia
Publication date: 18/06/2020
Last modified:
18/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un atacante no autenticado. Esto afecta a RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBK842 versiones anteriores a 3.2.15.25, RBR840 versiones anteriores a 3.2.15.25, RBS840 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores a 3.2.15.25, RBK853 versiones anteriores a 3.2.15.25, RBR850 versiones anteriores a 3.2.15.25 y RBS850 versiones anteriores a 3.2.15.25
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14440)
Gravedad:
MediaMedia
Publication date: 18/06/2020
Last modified:
18/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un atacante no autenticado. Esto afecta a RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBK842 versiones anteriores a 3.2.15.25, RBR840 versiones anteriores a 3.2.15.25, RBS840 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores a 3.2.15.25, RBK853 versiones anteriores a 3.2.15.25, RBR850 versiones anteriores a 3.2.15.25 y RBS850 versiones anteriores a 3.2.15.25
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14441)
Gravedad:
MediaMedia
Publication date: 18/06/2020
Last modified:
18/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un atacante no autenticado. Esto afecta a RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBK842 versiones anteriores a 3.2.15.25, RBR840 versiones anteriores a 3.2.15.25, RBS840 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores a 3.2.15.25, RBK853 versiones anteriores a 3.2.15.25, RBR850 versiones anteriores a 3.2.15.25 y RBS850 versiones anteriores a 3.2.15.25
Vulnerabilidad en algunos dispositivos NETGEAR (CVE-2020-14442)
Gravedad:
MediaMedia
Publication date: 18/06/2020
Last modified:
18/06/2020
Descripción:
Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un atacante no autenticado. Esto afecta a RBK752 versiones anteriores a 3.2.15.25, RBK753 versiones anteriores a 3.2.15.25, RBK753S versiones anteriores a 3.2.15.25, RBR750 versiones anteriores a 3.2.15.25, RBS750 versiones anteriores a 3.2.15.25, RBK842 versiones anteriores a 3.2.15.25, RBR840 versiones anteriores a 3.2.15.25, RBS840 versiones anteriores a 3.2.15.25, RBK852 versiones anteriores a 3.2.15.25, RBK853 versiones anteriores a 3.2.15.25, RBR850 versiones anteriores a 3.2.15.25 y RBS850 versiones anteriores a 3.2.15.25
Vulnerabilidad en un bucle de puntero de compresión en adns (CVE-2017-9104)
Gravedad:
AltaAlta
Publication date: 18/06/2020
Last modified:
01/07/2020
Descripción:
Se detectó un problema en adns versiones anteriores a 1.5.2. Se cuelga, consumiendo CPU, si un bucle de puntero de compresión es encontrado
Vulnerabilidad en pap_mailbox822 y adns__findlabel_next en st en registros SOA o RP en adns (CVE-2017-9103)
Gravedad:
AltaAlta
Publication date: 18/06/2020
Last modified:
01/07/2020
Descripción:
Se detectó un problema en adns versiones anteriores a 1.5.2. pap_mailbox822 no comprueba apropiadamente st desde adns__findlabel_next. Sin esto, puede ser usado un valor de pila no inicializado como la primera longitud de etiqueta. Dependiendo de las circunstancias, un atacante podría engañar a los publicistas para que bloqueen el programa de llamada, filtrando aspectos del contenido de parte de su memoria, causando que asigne mucha memoria o quizás el desbordamiento de un búfer. Esto solo es posible con aplicaciones que realizan consultas sin no procesar para registros SOA o RP
Vulnerabilidad en CNAME en adns (CVE-2017-9109)
Gravedad:
AltaAlta
Publication date: 18/06/2020
Last modified:
01/07/2020
Descripción:
Se detectó un problema en adns versiones anteriores a 1.5.2. No ignora las respuestas aparentes antes del primer RR que se encontró la primera vez. cuando esto es corregido, el segundo escaneo de respuestas encuentra los mismos RR en el primero. De lo contrario, adns pueden ser confundida entrelazando respuestas para el objetivo CNAME, con el propio CNAME. En ese caso, la estructura de datos de la respuesta (en la pila) puede ser desbordada. Con esto corregido, prefiere mirar solo los RR de respuesta que vienen después del CNAME, que al menos es posiblemente correcto
Vulnerabilidad en una falta de una nueva línea final en una lectura estándar en adns (CVE-2017-9108)
Gravedad:
MediaMedia
Publication date: 18/06/2020
Last modified:
01/07/2020
Descripción:
Se detectó un problema en adns versiones anteriores a 1.5.2. adnshost maneja inapropiadamente una falta de una nueva línea final en una lectura estándar. Es incorrecto incrementar el uso así como establecer r, ya que el uso se incrementa de acuerdo con r, más adelante. Más bien uno debería estar haciendo lo que la función read() habría hecho. Sin esta corrección, adnshost puede leer y procesar un byte más allá del búfer, quizás bloqueándose o de alguna manera perdiendo el valor de ese byte
Vulnerabilidad en qdparselabel en adns_qf_quoteok_query en un dominio que termina con una barra diagonal inversa en adns (CVE-2017-9107)
Gravedad:
MediaMedia
Publication date: 18/06/2020
Last modified:
01/07/2020
Descripción:
Se detectó un problema en adns versiones anteriores a 1.5.2. Invalida la lectura de un búfer si un dominio termina con una barra diagonal inversa. Si el dominio de consulta terminó con \, y adns_qf_quoteok_query se especificó, qdparselabel leería bytes adicionales del búfer e intentaría tratarlos como la secuencia de escape. Saldría del búfer de entrada y comenzaría a procesar muchos bytes de datos de la pila arbitrarios como si fuera el dominio de consulta. Eventualmente se quedaría sin entrada o encontraría algún otro tipo de error y declararía que el dominio de consulta no es válido. Pero antes de eso podría superar la memoria disponible y bloquearse. En principio, esto podría ser un ataque de denegación de servicio
Vulnerabilidad en adns_rr_info en los campos enteros SOA en adns (CVE-2017-9106)
Gravedad:
MediaMedia
Publication date: 18/06/2020
Last modified:
01/07/2020
Descripción:
Se detectó un problema en adns versiones anteriores a 1.5.2. adns_rr_info maneja inapropiadamente un *datap falso. El patrón general para formatear enteros es sprintf en un búfer de tamaño fijo. Esto es correcto si la entrada está en el rango correcto; de lo contrario, el búfer puede estar desbordado (dependiendo del tamaño de los tipos en la plataforma actual). Por supuesto, las entradas deben ser correctas. Y existen indicadores allí también, así que quizás se podría decir que la persona que llama debe comprobar estas cosas. Puede ser mejor requerir que la persona que llama haga que la estructura del puntero sea correcta, pero que el código aquí sea defensivo sobre (y tolere con un error pero sin bloquear) valores enteros fuera de rango. Por lo tanto: debe defender cada uno de estos sitios de conversión de enteros con una comprobación del rango real permitido y devolver adns_s_invaliddata si no lo hace. La falta de esta comprobación hace que el error de extensión de signo de SOA sea un problema de seguridad grave: el valor de SOA extendido de signo está fuera de rango y supera el búfer cuando se reconvierte. Esto está relacionado con el signo que extiende los campos enteros SOA de 32 bits y el uso de un tipo de datos con signo
Vulnerabilidad en un servidor de nombres en adns (CVE-2017-9105)
Gravedad:
AltaAlta
Publication date: 18/06/2020
Last modified:
01/07/2020
Descripción:
Se detectó un problema en adns versiones anteriores a 1.5.2. Corrompe un puntero cuando un servidor de nombres habla primero debido a un número incorrecto de desreferencias de puntero. Este error puede ser explotable como una ejecución de código remota

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el envío de mensajes en los productos Huawei FusionAccess (CVE-2020-1825)
Gravedad:
MediaMedia
Publication date: 15/06/2020
Last modified:
18/06/2020
Descripción:
FusionAccess con versiones anteriores a 6.5.1.SPC002, presentan una vulnerabilidad de denegación de servicio (DoS). Debido a una verificación insuficiente sobre una entrada específica, los atacantes pueden explotar esta vulnerabilidad mediante el envío de mensajes construidos hacia el dispositivo afectado por medio de otro dispositivo en la misma red. Una explotación con éxito podría causar que los dispositivos afectados sean anormales
Vulnerabilidad en la autenticación al consultar el servidor en Ignition 8 Gateway (CVE-2020-12004)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
25/06/2020
Descripción:
El producto afectado carece de una autenticación apropiada requerida para consultar el servidor en Ignition 8 Gateway (versiones anteriores a 8.0.10) y Ignition 7 Gateway (versiones anteriores a la 7.9.14), permitiendo a un atacante obtener información confidencial
Vulnerabilidad en el manejo de datos serializados en Ignition 8 Gateway (CVE-2020-12000)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
18/06/2020
Descripción:
El producto afectado es vulnerable al manejo de datos serializados. El problema resulta de la falta de una comprobación apropiada de los datos suministrados por el usuario, lo que puede resultar en una deserialización de datos no confiables en Ignition 8 Gateway (versiones anteriores a 8.0.10) y Ignition 7 Gateway (versiones anteriores a la 7.9.14), permitiendo a un atacante obtener información confidencial
Vulnerabilidad en la comprobación de datos en Ignition 8 Gateway (CVE-2020-10644)
Gravedad:
MediaMedia
Publication date: 09/06/2020
Last modified:
25/06/2020
Descripción:
El producto afectado carece de una comprobación apropiada de los datos suministrados por el usuario, lo que puede dar resultar en una deserialización de datos no confiables en Ignition 8 Gateway (versiones anteriores a 8.0.10) y Ignition 7 Gateway (versiones anteriores a la 7.9.14), permitiendo a un atacante obtener información confidencial
Vulnerabilidad en la funcionalidad "Download Log" en Wowza Streaming Engine (CVE-2019-19454)
Gravedad:
MediaMedia
Publication date: 18/05/2020
Last modified:
18/09/2020
Descripción:
Una descarga de archivos arbitraria fue encontrada en la funcionalidad "Download Log" de Wowza Streaming Engine versiones anteriores a 4.x.x. Este problema se resolvió en Wowza Streaming Engine 4.8.0
Vulnerabilidad en el cuadro de selección del servidor en la página de inicio de sesión enginemanager/loginfailed.html en Wowza Streaming Engine (CVE-2019-19456)
Gravedad:
MediaMedia
Publication date: 18/05/2020
Last modified:
18/09/2020
Descripción:
Una vulnerabilidad de tipo XSS reflejado fue encontrado en el cuadro de selección del servidor dentro de la página de inicio de sesión en: el archivo enginemanager/loginfailed.html en Wowza Streaming Engine versiones anteriores a 4.x.x. Este problema se resolvió en Wowza Streaming Engine 4.8.0
Vulnerabilidad en el panel de administración en Wowza Streaming Engine (CVE-2020-9004)
Gravedad:
AltaAlta
Publication date: 14/04/2020
Last modified:
18/09/2020
Descripción:
Una vulnerabilidad de omisión de autorización autenticada remota en Wowza Streaming Engine versión 4.8.0 y anteriores permite a cualquier usuario de sólo lectura emitir peticiones al panel de administración para cambiar la funcionalidad. Por ejemplo, un usuario de sólo lectura puede activar el puerto Java JMX en modo no autenticado y ejecutar comandos del Sistema Operativo con privilegios de root. Este problema se resolvió en Wowza Streaming Engine 4.8.5
Vulnerabilidad en el archivo enginemanager/server/user/edit.htm en el componente Server->Users en Wowza Streaming Engine (CVE-2019-7654)
Gravedad:
MediaMedia
Publication date: 29/01/2020
Last modified:
14/09/2020
Descripción:
Wowza Streaming Engine versiones 4.8.0 y anteriores, sufre de múltiples vulnerabilidades de tipo CSRF. Por ejemplo, un administrador, al seguir un enlace, puede ser engañado para hacer cambios no deseados, como agregar otro usuario administrador por medio del archivo enginemanager/server/user/edit.htm en el componente Server->Users. Este problema se resolvió en Wowza Streaming Engine 4.8.5
Vulnerabilidad en los archivos de programa principales /usr/local/WowzaStreamingEngine/bin/* en Wowza Streaming Engine (CVE-2019-7656)
Gravedad:
AltaAlta
Publication date: 29/01/2020
Last modified:
18/09/2020
Descripción:
Una vulnerabilidad de escalada de privilegios en Wowza Streaming Engine versiones 4.8.0 y anteriores permite a cualquier usuario de Linux no privilegiado escalar privilegios a root. El instalador establece permisos demasiado flexibles sobre los archivos de programa principales /usr/local/WowzaStreamingEngine/bin/*. Mediante la inyección de una carga útil en uno de esos archivos, se ejecutará con los mismos privilegios que el servidor Wowza, root. Por ejemplo, el archivo /usr/local/WowzaStreamingEngine/bin/tune.sh podría ser reemplazado por uno de tipo caballo de Troya. Este problema se resolvió en Wowza Streaming Engine 4.8.5
Vulnerabilidad en el campo customList%5B0%5D.value en el archivo enginemanager/server/serversetup/edit_adv.htm o en el campo host en el archivo enginemanager/j_spring_security_check en Wowza Streaming Engine (CVE-2019-7655)
Gravedad:
BajaBaja
Publication date: 29/01/2020
Last modified:
18/09/2020
Descripción:
Wowza Streaming Engine versiones 4.8.0 y anteriores, sufre de múltiples vulnerabilidades de tipo XSS autenticado por medio del (1) campo customList%5B0%5D.value en el archivo enginemanager/server/serversetup/edit_adv.htm de la configuración de Server Setup o el (2) campo host en el archivo enginemanager/j_spring_security_check del formulario de inicio de sesión. Este problema se resolvió en el Wowza Streaming Engine 4.8.5