Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en XStream (CVE-2017-7957)
Gravedad:
MediaMedia
Publication date: 29/04/2017
Last modified:
26/03/2019
Descripción:
XStream a través de 1.4.9, cuando no se utiliza una solución de denyTypes, mishandles intenta crear una instancia del tipo primitivo 'void' durante unmarshalling, dando lugar a un fallo de aplicación remota, como lo demuestra una llamda a xstream.fromXML (" > ").
Vulnerabilidad en Webmin (CVE-2017-2106)
Gravedad:
MediaMedia
Publication date: 28/04/2017
Last modified:
09/05/2017
Descripción:
Varias vulnerabilidades de secuencias de comandos entre sitios en Webmin versiones anteriores a 1.830 permiten a atacantes remotos inyectar secuencias de comandos web o HTML a través de vectores no especificados.
Vulnerabilidad en Knowledge (CVE-2017-2097)
Gravedad:
MediaMedia
Publication date: 28/04/2017
Last modified:
09/05/2017
Descripción:
Vulnerabilidad de falsificación de petición en sitios cruzados (CSRF) en Knowledge versiones anteriores a v1.7.0 permite a atacantes remotos secuestrar la autenticación de administradores a través de vectores no especificados.
Vulnerabilidad en Smalruby-editor (CVE-2017-2096)
Gravedad:
AltaAlta
Publication date: 28/04/2017
Last modified:
09/05/2017
Descripción:
Smalruby-editor v0.4.0 y anteriores permite a atacantes remotos ejecutar comandos del Sistema Operativo a través de vectores no especificados.
Vulnerabilidad en AttacheCase (CVE-2016-7842)
Gravedad:
MediaMedia
Publication date: 28/04/2017
Last modified:
09/05/2017
Descripción:
Vulnerabilidad de desplazamiento de directorios en AttacheCase 2.8.2.8 y anteriores y 3.2.0.4 y anteriores permite a los atacantes remotos leer archivos arbitrarios a través de un archivo ATC.
Vulnerabilidad en UDFclient (CVE-2017-8305)
Gravedad:
AltaAlta
Publication date: 27/04/2017
Last modified:
09/05/2017
Descripción:
La implementación de strlcpy personalizada de UDFclient (anterior al 0.8.8) tiene un desbordamiento de búfer. El strlcpy de UDFclient se utiliza solamente en sistemas con una biblioteca C (por ejemplo, glibc) que carece de su propia strlcpy.
Vulnerabilidad en en Avast Antivirus (CVE-2017-8308)
Gravedad:
MediaMedia
Publication date: 27/04/2017
Last modified:
02/10/2019
Descripción:
En Avast Antivirus anteriores a v17, un usuario no privilegiado puede marcar un proceso arbitrario como Trusted desde la perspectiva del producto Avast. Esto evita la característica de Self-Defense del producto, abriendo una puerta a un ataque posterior en muchos de sus componentes.
Vulnerabilidad en en Avast Antivirus (CVE-2017-8307)
Gravedad:
AltaAlta
Publication date: 27/04/2017
Last modified:
02/10/2019
Descripción:
En Avast Antivirus versiones anteriores a v17, utilizando el API de interfaz LPC expuesto por el servicio AvastSVC.exe de Windows, es posible iniciar binarios predefinidos o reemplazar o eliminar archivos arbitrarios. Esta vulnerabilidad es explotable por cualquier usuario no privilegiado cuando Avast Self Defense está deshabilitada. También puede explotarse junto con CVE-2017-8308 cuando Avast Self Defense está habilitada. La vulnerabilidad permite ataques de denegación de servicio y ocultar rastros de un posible ataque.
Vulnerabilidad en Mura CMS (CVE-2017-8302)
Gravedad:
BajaBaja
Publication date: 27/04/2017
Last modified:
09/05/2017
Descripción:
Permite ataques de XSS a admin/?muraAction= relacionados con admin/core/views/carch/list.cfm, admin/core/views/carch/loadsiteflat.cfm, admin/core/views/cusers/inc/dsp_nextn.cfm, admin/core/views/cusers/inc/dsp_search_form.cfm, admin/core/views/cusers/inc/dsp_users_list.cfm, admin/core/views/cusers/list.cfm, y admin/core/views/cusers/listusers.cfm.
Vulnerabilidad en Adobe ColdFusion (CVE-2017-3008)
Gravedad:
MediaMedia
Publication date: 27/04/2017
Last modified:
10/07/2017
Descripción:
Adobe ColdFusion 2016 Update 3 y anteriores, ColdFusion 11 update 11 y anteriores, ColdFusion 10 Update 22 y versiones anteriores tienen una vulnerabilidad de cross-site scripting.
Vulnerabilidad en Adobe ColdFusion (CVE-2017-3066)
Gravedad:
AltaAlta
Publication date: 27/04/2017
Last modified:
09/02/2018
Descripción:
Adobe ColdFusion 2016 Update 3 y anteriores, ColdFusion 11 update 11 y anteriores, ColdFusion 10 Update 22 y anteriores tienen una vulnerabilidad de deserialización de Java en la librería Apache BlazeDS. Una explotación exitosa podría conducir a la ejecución arbitraria de código.
Vulnerabilidad en Atlassian Confluence (CVE-2017-7415)
Gravedad:
MediaMedia
Publication date: 27/04/2017
Last modified:
09/05/2017
Descripción:
Atlassian Confluence 6.x antes de 6.0.7 permite a los atacantes remotos eludir la autenticación y leer cualquier blog o página a través del recurso drafts diff REST.
Vulnerabilidad en en Artifex Ghostscript (CVE-2017-8291)
Gravedad:
MediaMedia
Publication date: 26/04/2017
Last modified:
04/01/2018
Descripción:
Artifex Ghostscript permite sobrepasar -dSAFER y la ejecución de comandos remotos a través de una vulnerabilidad de type confusion en .rsdparams con una subcadena "/ OutputFile (% pipe%" en un documento .eps que se utilice como entrada al gs.
Vulnerabilidad en FreeType (CVE-2017-8287)
Gravedad:
AltaAlta
Publication date: 26/04/2017
Last modified:
23/04/2019
Descripción:
FreeType 2 antes de 2017-03-26 tiene una escritura fuera de límites causada por un desbordamiento de búfer basado en heap relacionado con la función t1_builder_close_contour en psaux / psobjs.c.
Vulnerabilidad en C2 y C20i de TP-Link (CVE-2017-8220)
Gravedad:
AltaAlta
Publication date: 25/04/2017
Last modified:
02/10/2019
Descripción:
Los dispositivos TP-Link C2 y C20i a través del firmware 0.9.1 4.2 v0032.0 Build 160706 Rel.37961n permiten la ejecución remota de código con una sola petición HTTP colocando comandos shell en una línea "host =" dentro de los datos HTTP POST.
Vulnerabilidad en C2 y C20i de TP-Link (CVE-2017-8219)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
09/05/2017
Descripción:
Los dispositivos TP-Link C2 y C20i a través del firmware 0.9.1 4.2 v0032.0 Build 160706 Rel.37961n permiten hacer DoSing vía servidor HTTP a través de una Cookie de cabecera para /cgi /ansi URI.
Vulnerabilidad en Vsftpd en los dispositivos TP-Link C2 y C20i (CVE-2017-8218)
Gravedad:
AltaAlta
Publication date: 25/04/2017
Last modified:
02/10/2019
Descripción:
Vsftpd en los dispositivos TP-Link C2 y C20i a través del firmware 0.9.1 4.2 v0032.0 Build 160706 Rel.37961n tiene una cuenta de administrador de puerta trasera con la contraseña 1234, una cuenta de invitado de puerta trasera con la contraseña de invitado y una cuenta de prueba de puerta trasera con contraseña de prueba.
Vulnerabilidad en C2 y C20i de TP-Link (CVE-2017-8217)
Gravedad:
MediaMedia
Publication date: 25/04/2017
Last modified:
02/10/2019
Descripción:
Los dispositivos TP-Link C2 y C20i a través del firmware 0.9.1 4.2 v0032.0 Build 160706 Rel.37961n tienen reglas iptables demasiado permisivas, por ejemplo, SNMP no está bloqueado en ninguna interfaz.
Vulnerabilidad en kernel de Linux (CVE-2017-5972)
Gravedad:
AltaAlta
Publication date: 14/02/2017
Last modified:
02/10/2019
Descripción:
La pila TCP en el kernel de Linux versiones 3.x, no implementa apropiadamente un mecanismo de protección de cookies SYN para el caso de una conexión de red rápida, lo que permite a los atacantes remotos causar una denegación de servicio (consumo de CPU) mediante el envío de muchos paquetes TCP SYN, como es demostrado por un ataque contra el paquete kernel versión 3.10.0 en CentOS Linux versión 7. NOTA: terceros no han podido discernir ninguna relación entre la búsqueda de GitHub Engineering y el código de ataque Trigemini.c.