Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un webhook saliente o una integración de comando de barra diagonal en Mattermost Server (CVE-2019-20888)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
20/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.7, 5.6.3, 5.5.2 y 4.10.5. Permite a atacantes causar una denegación de servicio (consumo de la memoria) por medio de un webhook saliente o una integración de comando de barra diagonal
Vulnerabilidad en un archivo robots.txt en Mattermost Server (CVE-2019-20885)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
20/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.8.0. No siempre se genera un archivo robots.txt
Vulnerabilidad en un archivo adjunto en Mattermost Server (CVE-2019-20884)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
20/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.8.0. Permite a atacantes adjuntar parcialmente un archivo a más de una publicación
Vulnerabilidad en Town Square en Mattermost Server (CVE-2019-20883)
Gravedad:
BajaBaja
Publication date: 19/06/2020
Last modified:
20/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.8.0, cuando Town Square es establecido a Solo Lectura. Unos usuarios pueden anclar o desanclar una publicación
Vulnerabilidad en OpenGraph en Mattermost Server (CVE-2019-20880)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
20/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.8.0, 5.7.2, 5.6.5 y 4.10.7. Permite a atacantes causar una denegación de servicio (consumo de la memoria) por medio de OpenGraph
Vulnerabilidad en 2FA en Mattermost Server (CVE-2019-20877)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
20/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.9.0, 5.8.1, 5.7.3 y 4.10.8. Permite a atacantes obtener información confidencial sobre si alguien presenta 2FA habilitado
Vulnerabilidad en un texto LaTeX en Mattermost Server (CVE-2018-21262)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
20/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 4.7.3. Permite a atacantes causar una denegación de servicio (bloqueo de la aplicación) por medio de un texto LaTeX no válido
Vulnerabilidad en el renderizador markdown en Mattermost Server (CVE-2020-14450)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
19/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.22.0. El renderizador markdown permite a atacantes causar una denegación de servicio (del lado del cliente), también se conoce como MMSA-2020-0017
Vulnerabilidad en peticiones de webhook en Mattermost Server (CVE-2020-14447)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
19/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.23.0. Peticiones de webhook largas permiten a atacantes causar una denegación de servicio (bucle infinito), también se conoce como MMSA-2020-0021
Vulnerabilidad en la API "get channel by name" en Mattermost Server (CVE-2020-14458)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
19/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.19.0. Unos atacantes pueden detectar canales privados por medio de la API "get channel by name", también se conoce como MMSA-2020-0004
Vulnerabilidad en el evento del WebSocket update_team en Mattermost Server (CVE-2020-14457)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
19/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.20.0. No miembros pueden recibir detalles del equipo transmitido por medio del evento del WebSocket update_team, también se conoce como MMSA-2020-0012
Vulnerabilidad en un mensaje directo en Mattermost Server (CVE-2020-14459)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
19/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.19.0. Unos atacantes pueden cambiar el nombre de un canal y causar una colisión con un mensaje directo, también se conoce como MMSA-2020-0002
Vulnerabilidad en operaciones de lectura de socket en Mattermost Server (CVE-2020-14453)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
19/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.21.0. Unas operaciones de lectura de socket no están restringidas apropiadamente, lo que permite a atacantes causar una denegación de servicio, también se conoce como MMSA-2020-0005
Vulnerabilidad en HTTP en mmctl en Mattermost Server (CVE-2020-14452)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
19/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.21.0. En mmctl permite un salto de directorio por medio de HTTP, también se conoce como MMSA-2020-0014
Vulnerabilidad en las respuestas automáticas de mensajes directos en Mattermost Server (CVE-2020-14448)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
20/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.23.0. Las respuestas automáticas de mensajes directos permiten a atacantes causar una denegación de servicio (bucle infinito), también se conoce como MMSA-2020-0020
Vulnerabilidad en el almacenamiento de archivos locales del servidor en Mattermost Server (CVE-2019-20846)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
19/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.18.0. Presenta permisos débiles para el almacenamiento de archivos locales del servidor
Vulnerabilidad en una importación Slack en Mattermost Server (CVE-2019-20845)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
19/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.18.0. Permite a atacantes causar una denegación de servicio (consumo de la memoria) por medio de una importación Slack de gran tamaño
Vulnerabilidad en un canal de mensaje directo en Mattermost Server (CVE-2019-20844)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
19/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.18.0, 5.17.2, 5.16.4, 5.15.4 y 5.9.7. Un atacante puede suplantar un canal de mensaje directo al cambiar el tipo de canal
Vulnerabilidad en los archivos de configuración en Mattermost Server (CVE-2019-20843)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
19/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.18.0, 5.17.2, 5.16.4, 5.15.4 y 5.9.7. Se presentan permisos débiles para los archivos de configuración
Vulnerabilidad en SearchAllChannels en Mattermost Server (CVE-2019-20842)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
19/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.18.0, 5.17.2, 5.16.4, 5.15.4 y 5.9.7. Se presenta una inyección SQL por parte de los administradores mediante SearchAllChannels
Vulnerabilidad en un sitio web en Mattermost Server (CVE-2019-20841)
Gravedad:
MediaMedia
Publication date: 19/06/2020
Last modified:
22/06/2020
Descripción:
Se detectó un problema en Mattermost Server versiones anteriores a 5.18.0, 5.17.2, 5.16.4, 5.15.4 y 5.9.7. Una vulnerabilidad de tipo CSRF algunas veces puede presentarse por medio de un sitio web diseñado para ataques de toma de control de la cuenta
Vulnerabilidad en la casilla Operation Name en CALDERA (CVE-2020-14462)
Gravedad:
BajaBaja
Publication date: 19/06/2020
Last modified:
19/06/2020
Descripción:
CALDERA versión 2.7.0, permite ataques de tipo XSS por medio de la casilla Operation Name
Vulnerabilidad en Zammad (CVE-2020-14214)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
22/06/2020
Descripción:
En Zammad en versiones anteriores a la 3.3.1, cuando se habilita la asignación basada en el dominio, se basa en una dirección de correo electrónico reclamada para las decisiones de autorización. Un atacante puede registrar una nueva cuenta que tendrá acceso a todas las entradas de una Organización arbitraria
Vulnerabilidad en Zammad (CVE-2020-14213)
Gravedad:
MediaMedia
Publication date: 16/06/2020
Last modified:
22/06/2020
Descripción:
En Zammad en versiones anteriores a la 3.3.1, un Cliente tiene un acceso de entrada que sólo debería estar disponible para un Agente (por ejemplo, leer datos internos, dividir o fusionar)

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el parámetro order en wpdLoadMoreComments en el plugin gVectors wpDiscuz para WordPress (CVE-2020-13640)
Gravedad:
AltaAlta
Publication date: 18/06/2020
Last modified:
06/07/2020
Descripción:
Un problema de inyección SQL en el plugin gVectors wpDiscuz versiones 5.3.5 y anteriores para WordPress, permite a los atacantes remotos ejecutan comandos SQL arbitrarios por medio del parámetro order de una petición de wpdLoadMoreComments. (versiones 7.x no están afectadas)
Vulnerabilidad en el archivo modules/packetizer/hxxx_nal.c en la función hxxx_AnnexB_to_xVC en el reproductor multimedia VideoLAN VLC (CVE-2020-13428)
Gravedad:
MediaMedia
Publication date: 08/06/2020
Last modified:
19/06/2020
Descripción:
Un desbordamiento del búfer en la región heap de la memoria en la función hxxx_AnnexB_to_xVC en el archivo modules/packetizer/hxxx_nal.c en el reproductor multimedia VideoLAN VLC en versines anteriores a la 3.0.11 para macOS/iOS permite a los atacantes remotos causar una denegación de servicio (bloqueo de la aplicación) o ejecutar un código arbitrario a través de un archivo de vídeo H.264 Anexo-B elaborado (.avi por ejemplo)
Vulnerabilidad en una llamada a la API de reporte de Netflow Top Applications en Kaseya Traverse (CVE-2020-8427)
Gravedad:
AltaAlta
Publication date: 17/02/2020
Last modified:
19/06/2020
Descripción:
En Unitrends Backup en versiones anteriores a la 10.4.1, un parámetro de solicitud HTTP no fue saneado adecuadamente, permitiendo la inyección SQL que resultó en una omisión de autentificación