Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en múltiples SONY Wireless Headphones (CVE-2020-5589)
Gravedad:
AltaAlta
Publication date: 09/06/2020
Last modified:
23/06/2020
Descripción:
SONY Wireless Headphones WF-1000X, WF-SP700N, WH-1000XM2, WH-1000XM3, WH-CH700N, WH-H900N, WH-XB700, WH-XB900N, WI-1000X, WI-C600N y WI-SP600N con versiones de firmware anteriores a la 4.5.2 tienen la vulnerabilidad de que alguien dentro del rango del Bluetooth pueda hacer el emparejamiento Bluetooth y operar como cambiar el volumen del producto
Vulnerabilidad en el registro del Firewall en el servicio proxy Palo Alto Networks PAN-OS Panorama (CVE-2020-2018)
Gravedad:
AltaAlta
Publication date: 13/05/2020
Last modified:
23/06/2020
Descripción:
Una vulnerabilidad de omisión de autentificación en la función de conmutación de contexto de Panorama permite a un atacante con acceso de red a la interfaz de gestión de Panorama obtener un acceso privilegiado a la gestión del Firewall. Un atacante requiere cierto conocimiento de la gestión del Firewall para explotar esta cuestión. Este problema no afecta a Panorama configurado con certificados personalizados de autenticación para la comunicación entre Panorama y los dispositivos gestionados. Este problema afecta: PAN-OS versiones 7.1 anteriores a 7.1.26; PAN-OS versiones 8.0 anteriores a 8.0.21; PAN-OS versiones 8.1 anteriores a 8.1.12; PAN-OS versiones 9.0 anteriores a 9.0.6
Vulnerabilidad en la opción ftps-extensions en la FTP ALG en los servicios SRX en el servidor FTPS (CVE-2015-5361)
Gravedad:
MediaMedia
Publication date: 28/02/2020
Last modified:
19/08/2020
Descripción:
Antecedentes para el tráfico FTP no cifrado normal, el FTP ALG puede inspeccionar el canal de control no cifrado y abrir sesiones relacionadas para el canal de datos FTP. Estas sesiones relacionadas (puertas) son específicas de las direcciones IP y los puertos de origen y destino del cliente y el servidor. La intención de diseño de la opción de extensiones ftps (que está deshabilitada de manera predeterminada) es proporcionar una funcionalidad similar cuando el SRX asegura el cliente FTP/FTPS. Como el canal de control está encriptado, el FTP ALG no puede inspeccionar la información específica del puerto y abrirá un canal de datos TCP (puerta) más amplio desde la IP del cliente a la IP del servidor en todos los puertos TCP de destino. En entornos de cliente FTP/FTPS para una red empresarial o Internet, este es el comportamiento deseado, ya que permite que la política de firewall se escriba en servidores FTP/FTPS en puertos de control conocidos sin usar una política con IP de destino CUALQUIERA y puerto de destino CUALQUIERA . Problema La opción ftps-extensiones no está destinada o recomendada cuando el SRX asegura el servidor FTPS, ya que la sesión de canal de datos amplio (puerta) permitirá al cliente FTPS acceso temporal a todos los puertos TCP en el servidor FTPS. La sesión de datos está asociada al canal de control y se cerrará cuando se cierre la sesión del canal de control. Dependiendo de la configuración del servidor FTPS, que admite el equilibrador de carga y los valores de inactividad de SRX, el servidor/equilibrador de carga y SRX pueden mantener el canal de control abierto durante un período prolongado de tiempo, permitiendo que un cliente FTPS acceda por igual duración. Nota la opción ftps-extensions no está habilitada de forma predeterminada.
Vulnerabilidad en LPAR2RRD (CVE-2014-4982)
Gravedad:
AltaAlta
Publication date: 10/01/2020
Last modified:
19/08/2020
Descripción:
LPAR2RRD ? versión 4.53 y versión 3.5 tiene inyección de comando arbitraria en el servidor de aplicaciones.
Vulnerabilidad en el plugin Jenkins Dingding (CVE-2019-10433)
Gravedad:
BajaBaja
Publication date: 01/10/2019
Last modified:
19/08/2020
Descripción:
Jenkins Dingding [??] Plugin almacena las credenciales sin cifrar en archivos de trabajo config.xml en el maestro de Jenkins, donde pueden ser vistas por usuarios con permiso de lectura extendido o acceso al sistema de archivos maestro.
Vulnerabilidad en Rockwell Automation Allen-Bradley PowerMonitor 1000 (CVE-2018-19615)
Gravedad:
MediaMedia
Publication date: 26/12/2018
Last modified:
19/08/2020
Descripción:
Rockwell Automation Allen-Bradley PowerMonitor 1000 todas las versiones. Un atacante remoto podría inyectar un código arbitrario en el navegador web de un usuario objetivo para obtener acceso al dispositivo afectado.