Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el tipo de contenido text/x-python-script en el archivo cgi-bin/mainfunction.cgi/cvmcfgupload en los dispositivos DrayTek Vigor3900, Vigor2960 y Vigor300B (CVE-2020-15415)
Gravedad:
AltaAlta
Publication date: 30/06/2020
Last modified:
02/07/2020
Descripción:
En los dispositivos DrayTek Vigor3900, Vigor2960 y Vigor300B versiones anteriores a 1.5.1, en el archivo cgi-bin/mainfunction.cgi/cvmcfgupload permite una ejecución de comandos remota por medio de metacaracteres de shell en un nombre de archivo cuando es usado el tipo de contenido text/x-python-script, un problema diferente de CVE-2020-14472
Vulnerabilidad en el manejo de enlaces físicos en Avast Free Antivirus y AVG AntiVirus Free (CVE-2020-13657)
Gravedad:
BajaBaja
Publication date: 29/06/2020
Last modified:
02/07/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en Avast Free Antivirus y AVG AntiVirus Free versiones anteriores a 20.4, debido a un manejo inapropiado de los enlaces físicos. La vulnerabilidad permite a usuarios locales tomar el control de archivos arbitrarios
Vulnerabilidad en el archivo ecc.c en operaciones de clave privada en wolfSSL (CVE-2020-11735)
Gravedad:
MediaMedia
Publication date: 25/06/2020
Last modified:
02/07/2020
Descripción:
Las operaciones de clave privada en el archivo ecc.c en wolfSSL versiones anteriores a 4.4.0, no usan un inverso modular de tiempo constante cuando mapean a unas coordenadas afines, también se conoce como "projective coordinates leak"

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en un archivo axess/opt/axXMPPHandler/config/xmpp_config.py en Zyxel CloudCNM SecuManager (CVE-2020-15324)
Gravedad:
AltaAlta
Publication date: 29/06/2020
Last modified:
06/07/2020
Descripción:
Zyxel CloudCNM SecuManager versiones 3.1.0 y 3.1.1, presenta un archivo axess/opt/axXMPPHandler/config/xmpp_config.py de tipo world-readable que almacena credenciales embebidas
Vulnerabilidad en el archivo downloadmp3.php en el parámetro download en Stash (CVE-2020-15311)
Gravedad:
AltaAlta
Publication date: 26/06/2020
Last modified:
06/07/2020
Descripción:
Stash versión 1.0.3, permite una inyección SQL por medio del parámetro download del archivo downloadmp3.php