Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo PlayerGeneric.cpp en el destructor PlayerGeneric en MilkyTracker (CVE-2020-15569)
Gravedad:
MediaMedia
Publication date: 06/07/2020
Last modified:
27/07/2020
Descripción:
El archivo PlayerGeneric.cpp en MilkyTracker versiones hasta 1.02.00, presenta un uso de la memoria previamente liberada en el destructor PlayerGeneric
CVE-2020-15570
Gravedad:
MediaMedia
Publication date: 06/07/2020
Last modified:
12/08/2020
Descripción:
La función parse_report() en el archivo whoopsie.c en Whoopsie versiones hasta 0.2.69, maneja inapropiadamente los fallos de asignación de memoria, lo que permite a un atacante causar una denegación de servicio por medio de un archivo bloqueado malformado
Vulnerabilidad en ((script)script) en el filtrado regex en org.webjars.bower:jspdf (CVE-2020-7691)
Gravedad:
MediaMedia
Publication date: 06/07/2020
Last modified:
10/07/2020
Descripción:
En todas las versiones del paquete jspdf, es posible usar ((script)script) con el fin de repasar el filtrado regex
Vulnerabilidad en la apertura de un archivo de proyecto en Delta Industrial Automation DOPSoft (CVE-2020-14482)
Gravedad:
MediaMedia
Publication date: 30/06/2020
Last modified:
10/07/2020
Descripción:
Delta Industrial Automation DOPSoft, Versión 4.00.08.15 y anteriores. La apertura de un archivo de proyecto especialmente diseñado puede desbordar la pila, lo que puede permitir una ejecución de código remota, una divulgación y modificación de información o causar que la aplicación se bloquee
Vulnerabilidad en las comprobaciones de autorización en las API internas en el servidor Presto con una comunicación interna segura configurada (CVE-2020-15087)
Gravedad:
MediaMedia
Publication date: 30/06/2020
Last modified:
10/07/2020
Descripción:
En Presto versiones anteriores a 337, los usuarios autenticados pueden omitir las comprobaciones de autorización al acceder directamente a las API internas. Esto afecta las instalaciones del servidor Presto con una comunicación interna segura configurada. Esto no afecta a las instalaciones que no han configurado una comunicación interna segura, ya que estas instalaciones son no seguras inherentemente. Esto solo afecta a las instalaciones del servidor Presto. Esto NO afecta a clientes como la CLI o el controlador JDBC. Esta vulnerabilidad se ha corregido en la versión 337. Además, este problema puede ser mitigado bloqueando el acceso de red a las API internas en el coordinador y trabajadores
Vulnerabilidad en entradas de registro para intentos de restablecimiento de contraseña en generator-jhipster-kotlin (CVE-2020-4072)
Gravedad:
MediaMedia
Publication date: 25/06/2020
Last modified:
10/07/2020
Descripción:
En generator-jhipster-kotlin versión 1.6.0, son creadas entradas de registro para intentos de restablecimiento de contraseña no válidos. Como el correo electrónico lo proporciona un usuario y la API es pública, un atacante puede usarla para falsificar entradas de registro. Esto es vulnerable para https://cwe.mitre.org/data/definitions/117.html. Este problema afecta solo a las aplicaciones generadas con jwt o autenticación de sesión. Las aplicaciones que usan oauth no son vulnerables. Este problema ha sido corregido en la versión 1.7.0

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en vectores no especificados en MobileIron Core, Connector y Sentry (CVE-2020-15505)
Gravedad:
AltaAlta
Publication date: 07/07/2020
Last modified:
18/09/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en MobileIron Core y Connector versiones 10.6 y anteriores y Sentry versiones 9.8 y anteriores que permite a atacantes remotos ejecutar código arbitrario por medio de vectores no especificados
Vulnerabilidad en la función nasty_metachars en la secuencia newline \n en Nagios NRPE (CVE-2020-6581)
Gravedad:
BajaBaja
Publication date: 16/03/2020
Last modified:
10/07/2020
Descripción:
Nagios NRPE versión 3.2.1, presenta un filtrado insuficiente porque, por ejemplo, la función nasty_metachars interpreta \n como el carácter \ y el carácter n (no como la secuencia newline \n). Esto puede causar una inyección de comandos.