Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en La función drag-and-drop (DnD) en Workstation (CVE-2017-4901)
Gravedad:
AltaAlta
Publication date: 08/06/2017
Last modified:
11/07/2017
Descripción:
La función drag-and-drop (DnD) en Workstation versiones 12.x y anteriores a 12.5.4 y Fusion versiones 8.x y anteriores a 8.5.5 de VMware, presenta una vulnerabilidad de acceso a la memoria fuera de límites. Esto puede permitir que un invitado ejecute código en el sistema operativo que ejecuta Workstation o Fusion.
Vulnerabilidad en Wmware ESXi (CVE-2017-4902)
Gravedad:
AltaAlta
Publication date: 07/06/2017
Last modified:
11/07/2017
Descripción:
Wmware ESXi sin el parche ESXi650-201703410-SG y 5.5 sin el parche ESXi550-201703401-SG; Workstation Pro / Player 12.x anterior a 12.5.5 y Fusion Pro /Fusion 8.x anterior a la 8.5.6 tiene un buffer overflow basado en el heap --heap-- en SVGA. Este problema permitiría a un huésped ejecutar código en el host.
Vulnerabilidad en ESXi650-201703410-SG (CVE-2017-4903)
Gravedad:
AltaAlta
Publication date: 07/06/2017
Last modified:
11/07/2017
Descripción:
ESXi versiones 6.5 sin el parche ESXi650-201703410-SG, 6.0 U3 sin el parche ESXi600-201703401-SG, 6.0 U2 sin el parche ESXi600-201703403-SG, 6.0 U1 sin el parche ESXi600-201703402-SG, y 5.5 sin el parche ESXi550-20-20170140; Workstation Pro / Player versión 12.x anterior de 12.5.5; y Fusion Pro / Fusion versiones 8.x anterior a 8.5.6 de VMware, presenta un uso de memoria de la pila no inicializada en SVGA. Este problema puede permitir a un invitado ejecutar código en el host.
Vulnerabilidad en El controlador XHCI (CVE-2017-4904)
Gravedad:
AltaAlta
Publication date: 07/06/2017
Last modified:
11/07/2017
Descripción:
El controlador XHCI en ESXi versiones 6.5 sin parche ESXi650-201703410-SG, 6.0 U3 sin parche ESXi600-201703401-SG, 6.0 U2 sin parche ESXi600-201703403-SG, 6.0 U1 sin parche ESXi600-201703402-SG, y 5.5 sin parche ESXi550 -201703401-SG; Workstation Pro / Player versiones 12.x anteriores a 12.5.5; y Fusion Pro / Fusion versiones 8.x anteriores a 8.5.6 de VMware, presenta un uso de memoria no inicializada. Este problema puede permitir a un invitado ejecutar código en el host. El problema es reducido a una Denegación de Servicio del invitado en ESXi versión 5.5.
Vulnerabilidad en ESXi (CVE-2017-4905)
Gravedad:
BajaBaja
Publication date: 07/06/2017
Last modified:
11/07/2017
Descripción:
ESXi versiones 6.5 sin parche ESXi650-201703410-SG, 6.0 U3 sin parche ESXi600-201703401-SG, 6.0 U2 sin parche ESXi600-201703403-SG, 6.0 U1 sin parche ESXi600-201703402-SG, 5.5 sin parche ESXi550-201701401-SG; Workstation Pro / Player versiones 12.x anteriores a 12.5.5; y Fusion Pro / Fusion versiones 8.x anteriores a 8.5.6 de VMware, presenta un uso de memoria no inicializada. Este problema puede conducir a un filtrado de información.
Vulnerabilidad en la función xsltAddTextString en transform.c de libxslt 1.1.29 (CVE-2017-5029)
Gravedad:
MediaMedia
Publication date: 24/04/2017
Last modified:
04/01/2018
Descripción:
La función xsltAddTextString en transform.c en libxslt 1.1.29, tal como se utiliza en Blink en Google Chrome anteriores a 57.0.2987.98 para Mac, Windows y Linux y 57.0.2987.108 para Android, carecía de una comprobación de desbordamiento de entero durante un cálculo de tamaño, lo que permite a un atacante remoto realizar una escritura de memoria fuera de límites a través de una página HTML diseñada.
Vulnerabilidad en el plugin TMM SSO en F5 BIG-IP APM (CVE-2016-7467)
Gravedad:
BajaBaja
Publication date: 11/04/2017
Last modified:
11/07/2017
Descripción:
El plugin TMM SSO en F5 BIG-IP APM 12.0.0 - 12.1.1, 11.6.0 - 11.6.1 HF1, 11.5.4 - 11.5.4 HF2, cuando está configurado como un SAML Identity Provider con un conector Service Provider (SP), podría permitir que se interrumpiera el tráfico o inicio de conmutación por error cuando una solicitud de autenticación SAML firmada malformada de un usuario autenticado es enviada a través del conector SP.
Vulnerabilidad en Cisco Aironet 1800, 2800 y 3800 Series Access Point (CVE-2016-9196)
Gravedad:
AltaAlta
Publication date: 07/04/2017
Last modified:
11/07/2017
Descripción:
Una vulnerabilidad en la administración de la autenticación de inicio de sesión en las plataformas Cisco Aironet 1800, 2800 y 3800 Series Access Point podría permitir a un atacante autenticado y local obtener acceso root sin restricciones al sistema operativo Linux subyacente. El shell root de Linux se proporciona para la solución avanzada de problemas y no debe estar disponible para los usuarios individuales, incluso aquellos con privilegios de root. El atacante debe tener la contraseña de root para explotar esta vulnerabilidad. Más información: CSCvb13893. Lanzamientos afectados conocidos: 8.2(121.0) 8.3(102.0). Lanzamientos fijos conocidos: 8,4(1,53) 8,4(1,52) 8,3(111,0) 8,3(104,23) 8,2(130,0) 8,2(124,1).
Vulnerabilidad en la funcionalidad de comprobación de recursos basada en roles del Director del Unified Computing System (UCS) de Cisco (CVE-2017-3817)
Gravedad:
MediaMedia
Publication date: 07/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad en la funcionalidad de comprobación de recursos basada en roles del Director del Unified Computing System (UCS) de Cisco podría permitir a un atacante remoto autenticado ver información no autorizada para cualquier máquina virtual en un dominio UCS. Más información: CSCvc32434. Lanzamientos afectados conocidos: 5,5 (0,1) 6,0 (0,0).
Vulnerabilidad en en la interfaz web de Cisco Prime Infrastructure y del administrador Evolved Programmable Network de Cisco (CVE-2017-3884)
Gravedad:
MediaMedia
Publication date: 07/04/2017
Last modified:
29/07/2019
Descripción:
Una vulnerabilidad en la interfaz web de Cisco Prime Infrastructure y del administrador Evolved Programmable Network de Cisco (EPN) podría permitir a un atacante remoto autenticado acceder a datos confidenciales. El atacante no necesita credenciales de administrador y podría usar esta información para realizar ataques de reconocimiento adicionales. Más información: CSCvc60031 (fijo) CSCvc60041 (fijo) CSCvc60095 (abierto) CSCvc60102 (abierto). Liberaciones conocidas: 2,2 2,2(3) 3,0 3,1(0,0) 3,1(0,128) 3,1(4,0) 3,1(5,0) 3,2(0,0) 2,0(4,0,45D).
Vulnerabilidad en el manejo de llamadas de procedimiento remoto definidas por Google en el software Cisco IOS (CVE-2017-6599)
Gravedad:
MediaMedia
Publication date: 07/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad en el manejo de llamadas de procedimiento remoto definidas por Google (gRPC) en el software Cisco IOS XR podría permitir que un atacante remoto no autenticado provocara que el Event Management Service daemond (emsd) se bloqueara debido a una pérdida de memoria del sistema, dando como resultado una denegación de servicio (DoS). Esta vulnerabilidad afecta al software Cisco IOS XR con gRPC habilitado. Más información: CSCvb14433. Lanzamientos afectados conocidos: 6.1.1.BASE 6.2.1.BASE. Lanzamientos fijos conocidos: 6.2.1.22i.MGBL 6.1.22.9i.MGBL 6.1.21.12i.MGBL 6.1.2.13i.MGBL.
Vulnerabilidad en la interfaz web del software Cisco Integrated Management Controller (CVE-2017-6604)
Gravedad:
MediaMedia
Publication date: 07/04/2017
Last modified:
11/07/2017
Descripción:
Una vulnerabilidad en la interfaz web del software Cisco Integrated Management Controller (IMC) podría permitir a un atacante remoto no autenticado redirigir a un usuario a una página web malintencionada. Esta vulnerabilidad afecta a los siguientes productos de Cisco que ejecutan el software IMC de Cisco: Unified Computing System (UCS) servidores B-Series M3 y M4 Blade, Unified Computing System (UCS) Servidores en rack C-Series M3 y M4. Más información: CSCvc37931. Lanzamientos fijos conocidos: 3.1(2c)B.
Vulnerabilidad en secuencia de comandos de inicio del software Cisco IOS (CVE-2017-6606)
Gravedad:
MediaMedia
Publication date: 07/04/2017
Last modified:
11/07/2017
Descripción:
Una vulnerabilidad en una secuencia de comandos de inicio del software Cisco IOS XE podría permitir a un atacante no autenticado con acceso físico al sistema de destino ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario root. Más información: CSCuz06639 CSCuz42122. Lanzamientos afectados conocidos: 15.6(1.1)S 16.1.2 16.2.0 15.2(1)E. Lanzamientos fijos conocidos: Denali-16.1.3 16.2(1.8) 16.1(2.61) 15.6(2)SP 15.6(2)S1 15.6(1)S2 15.5(3)S3a 15.5(3)S3 15.5(2)S4 15.5(1)S4 15.4(3)S6a 15.4(3)S6 15.3(3)S8a 15.3(3)S8 15.2(5)E 15.2(4)E3 15.2(3)E5 15.0(2)SQD3 15.0(1.9.2)SQD3 3.9(0)E.
Vulnerabilidad en Wireless Multimedia Extensions (CVE-2016-9194)
Gravedad:
MediaMedia
Publication date: 06/04/2017
Last modified:
11/07/2017
Descripción:
Una vulnerabilidad en 802.11 Wireless Multimedia Extensions (WME) action frame processing in Cisco Wireless LAN Controller (WLC) Software podría permitir que un atacante no autenticado adyacente, provoque una condición de denegación de servicio(DoS). La vulnerabilidad se debe a la validación de entrada incompleta del encabezado de paquete 802.11 WME. Un atacante podría explotar esta vulnerabilidad enviando marcos malformados WME 802.11 a un dispositivo de destino. Un exploit exitoso podría permitir al atacante hacer que el WLC se recargue inesperadamente. Las versiones fijas son 8.0.140.0, 8.2.130.0, y 8.3.111.0. Cisco Bug IDs: CSCva86353.
Vulnerabilidad en Cisco Aironet 1830 Series y Cisco Aironet 1850 Series Access Points running Cisco Mobility Express Software (CVE-2017-3834)
Gravedad:
AltaAlta
Publication date: 06/04/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad en Cisco Aironet 1830 Series y Cisco Aironet 1850 Series Access Points running Cisco Mobility Express Software podría permitir a un atacante remoto no autenticado tomar el control completo de un dispositivo afectado. La vulnerabilidad se debe a la existencia de credenciales predeterminadas para un dispositivo afectado que ejecuta el software Cisco Mobility Express, independientemente de si el dispositivo está configurado como punto de acceso maestro, subordinado o independiente. Un atacante que tenga una conectividad de capa 3 con un dispositivo afectado podría usar Secure Shell (SSH) para iniciar sesión en el dispositivo con privilegios elevados. Una explotación exitosa podría permitir al atacante tomar el control completo del dispositivo. Esta vulnerabilidad afecta a Cisco Aironet 1830 Series y Cisco Aironet 1850 Series Access Points que están ejecutando un lanzamiento de 8.2.x Cisco Mobility Express Software anterior a la versión lanzamiento 8.2.111.0, independientemente de si el dispositivo está configurado como un punto de acceso maestro, subordinado o independiente. El lanzamiento 8.2 fue el primer lanzamiento de Cisco Mobility Express Software para la proxima generación Cisco Aironet Access Points. Cisco Bug IDs: CSCva50691.
Vulnerabilidad en Django (CVE-2017-7233)
Gravedad:
MediaMedia
Publication date: 04/04/2017
Last modified:
17/10/2018
Descripción:
Django 1.10 en versiones anteriores a 1.10.7, 1.9 en versiones anteriores a 1.9.13, y 1.8 en versiones anteriores a 1.8.18 se basa en la entrada del usuario en algunos casos para redirigir al usuario a una URL de "éxito". La comprobación de seguridad de estos redireccionamientos (a saber, `` django.utils.http.is_safe_url()``) considera que algunas URL numéricas son "seguras" cuando no deberían serlo, también conocida como una vulnerabilidad de redirección abierta. Además, si un desarrollador confía en `` is_safe_url() `` para proporcionar destinos de redirección seguros y pone esa URL en un enlace, podría sufrir un ataque XSS.
Vulnerabilidad en Django (CVE-2017-7234)
Gravedad:
MediaMedia
Publication date: 04/04/2017
Last modified:
03/11/2017
Descripción:
Una URL maliciosa manipulada a una sitio Django (1.10 en versiones anteriores a 1.10.7, 1.9 en versiones anteriores a 1.9.13, y 1.8 en versiones anteriores a 1.8.18) que usa la vista ``django.views.static.serve()`` podría redirigir a cualquier otro dominio, también conocido como una vulnerabilidad de redirección abierta.
Vulnerabilidad en productos Apple (CVE-2017-2367)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
02/10/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos eludir la Same Origin Policy y obtener información sensible a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2376)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
02/10/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. El problema involucra al componente "Safari". Esto permite a atacantes remotos suplantar la barra de direcciones aprovechando la entrada de texto durante la carga de una página.
Vulnerabilidad en productos Apple (CVE-2017-2377)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
11/07/2017
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. El problema involucra al componente "WebKit Web Inspector". Esto permite a atacantes provocar una denegación de servicio (corrupción de memoria y caída de aplicación) aprovechando una acción de cierre de ventana durante un estado de pausa del depurador.
Vulnerabilidad en productos Apple (CVE-2017-2379)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Carbon". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (desbordamiento del búfer y caída de la aplicación) a través de un archivo .dfont manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2386)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
02/10/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos eludir la Same Origin Policy y obtener información sensible a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2390)
Gravedad:
BajaBaja
Publication date: 01/04/2017
Last modified:
02/10/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra el manejo incorrecto de enlace simbólico en el componente "libarchive". Esto permite a usuarios locales cambiar permisos de directorio arbitrario a través de vectores no especificados.
Vulnerabilidad en productos Apple (CVE-2017-2391)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
11/07/2017
Descripción:
Se ha descubierto un problema en ciertos productos Apple. Pages en versiones anteriores a 6.1, Numbers en versiones anteriores a 4.1 y Keynote en versiones anteriores a 7.1 en macOS y Pages en versiones anteriores a 3.1, Numbers en versiones anteriores a 3.1 y Keynote en versiones anteriores a 3.1 en iOS están afectados. El problema involucra al componente "Export". Esto permite a usuarios eludir la protección de contraseña iWork PDF aprovechando el uso de 40-bit RC4.
Vulnerabilidad en productos Apple (CVE-2017-2394)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2395)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2396)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2398)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
11/07/2017
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. El problema involucra al componente "Kernel". Esto permite a atacantes ejecutar código arbitrario en un contexto privilegiado o provocar una denegación de servicio (corrupción de memoria) a través de una aplicación manipulada.
Vulnerabilidad en productos Apple (CVE-2017-2401)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Kernel". Esto permite a atacantes ejecutar código arbitrario en un contexto privilegiado o provocar una denegación de servicio (corrupción de memoria) a través de una aplicación manipulada.
Vulnerabilidad en productos Apple (CVE-2017-2405)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
11/07/2017
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. El problema involucra al componente "WebKit Web Inspector". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2406)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "FontParser". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un archivo de fuente manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2407)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "FontParser". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un archivo de fuente manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2415)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario aprovechando un "tipo de confusión" no especificado.
Vulnerabilidad en productos Apple (CVE-2017-2416)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "ImageIO". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un archivo de imagen manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2417)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
02/10/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "CoreGraphics". Esto permite a atacantes remotos provocar una denegación de servicio (recursión infinita) a través de una imagen manipulada.
Vulnerabilidad en productos Apple (CVE-2017-2419)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
02/10/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos eludir un mecanismo de protección Content Security Policy a través de vectores no especificados.
Vulnerabilidad en productos Apple (CVE-2017-2423)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
02/10/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. El problema involucra al componente "Security". Esto permite a atacantes remotos eludir las restricciones destinadas al acceso aprovechando un resultado exitoso de una llamada API SecKeyRawVerify con una firma vacía.
Vulnerabilidad en productos Apple (CVE-2017-2428)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra nghttp2 en versiones anteriores a 1.17.0 en el componente "HTTPProtocol". Esto permite a servidores remotos HTTP/2 tener un impacto no especificado a través de vectores desconocidos.
Vulnerabilidad en productos Apple (CVE-2017-2430)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Audio". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un archivo de audio manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2432)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "ImageIO". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un archivo JPEG manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2433)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
11/07/2017
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2435)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "CoreText". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un archivo de fuente manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2439)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "FontParser". Esto permite a atacantes remotos obtener información sensible o provocar una denegación de servicio (lectura fuera de límites y caída de la aplicación) a través de un archivo de fuente manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2440)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Kernel". Esto permite a atacantes ejecutar código arbitrario en un contexto privilegiado o provocar una denegación de servicio (desbordamiento de entero) a través de una aplicación manipulada.
Vulnerabilidad en productos Apple (CVE-2017-2441)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "libc++abi". Una vulnerabilidad de uso después de liberación de memoria permite a atacantes remotos ejecutar código arbitrario a través de una aplicación C++ manipulada que no se maneja adecuadamente durante el desmantelamiento.
CVE-2017-2442
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
15/08/2017
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. El problema involucra al componente "WebKit JavaScript Bindings". Esto permite a atacantes remotos eludir la Same Origin Policy y obtener información sensible a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2444)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "CoreGraphics". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2445)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos llevar a cabo ataques UXSS a través de objetos de marco manipulados.
Vulnerabilidad en productos Apple (CVE-2017-2446)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
02/10/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario a través de un sitio web manipulado que aprovecha el manejo incorrecto de funciones en modo estricto.
Vulnerabilidad en productos Apple (CVE-2017-2447)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos obtener información sensible o provocar una denegación de servicio (corrupción de memoria) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2448)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "Keychain". Esto permite a atacantes man-in-the-middle eludir un mecanismo de protección secreto en iCloud Keychain aprovechando la falta de autenticación para paquetes OTR.
Vulnerabilidad en productos Apple (CVE-2017-2450)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "CoreText". Esto permite a atacantes remotos obtener información sensible o provocar una denegación de servicio (lectura fuera de límites y caída de la aplicación) a través de un archivo de fuente manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2451)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Security". Esto permite a atacantes ejecutar código arbitrario en un contexto privilegiado o provocar una denegación de servicio (desbordamiento del búfer) a través de una aplicación manipulada.
Vulnerabilidad en productos Apple (CVE-2017-2454)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2455)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2456)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Kernel". Una condición de carrera permite a atacantes ejecutar código arbitrario en un contexto privilegiado a través de una aplicación manipulada.
Vulnerabilidad en productos Apple (CVE-2017-2457)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
15/08/2017
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2458)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Keyboards". Un desbordamiento del búfer permite a atacantes ejecutar código arbitrario en un contexto privilegiado a través de una aplicación manipulada.
Vulnerabilidad en productos Apple (CVE-2017-2459)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2460)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2461)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
02/10/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "CoreText". Esto permite a atacantes remotos provocar una denegación de servicio (consumo de recursos) a través de un mensaje de texto manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2462)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Audio". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un archivo de audio manipulado.
Vulnerabilidad en productos Apple e iCloud e iTunes en Windows (CVE-2017-2463)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
19/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. iCloud en versiones anteriores a 6.2 en Windows está afectado. iTunes en versiones anteriores a 12.6 en Windows está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2464)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2465)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2466)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2467)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "ImageIO". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un archivo manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2468)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2469)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2470)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2471)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
15/08/2017
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "WebKit". Una vulnerabilidad de uso después de liberación permite a atacantes remotos ejecutar código arbitrario a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2472)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Kernel". Esto permite a atacantes ejecutar código arbitrario en un contexto privilegiado o provocar una denegación de servicio (uso después de liberación) a través de una aplicación manipulada.
Vulnerabilidad en productos Apple (CVE-2017-2473)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Kernel". Esto permite a atacantes ejecutar código arbitrario en un contexto privilegiado o provocar una denegación de servicio (corrupción de memoria) a través de una aplicación manipulada.
Vulnerabilidad en productos Apple (CVE-2017-2474)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
02/10/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Kernel". Un error por un paso permite a atacantes ejecutar código arbitrario en un contexto privilegiado a través de una aplicación manipulada.
Vulnerabilidad en productos Apple (CVE-2017-2475)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
25/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos llevar a cabo ataques UXSS a través del uso de marcos manipulados en un sitio web.
Vulnerabilidad en productos Apple (CVE-2017-2476)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
25/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2478)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Kernel". Una condición de carrera permite a atacantes ejecutar código arbitrario en un contexto privilegiado a través de una aplicación manipulada.
Vulnerabilidad en productos Apple e iCloud e iTunes en Windows (CVE-2017-2479)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
19/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. iCloud en versiones anteriores a 6.2 en Windows está afectado. iTunes en versiones anteriores a 12.6 en Windows está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos eludir la Same Origin Policy y obtener información sensible a través de un sitio web manipulado.
Vulnerabilidad en productos Apple e iCloud e iTunes en Windows (CVE-2017-2480)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
15/08/2017
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. iCloud en versiones anteriores a 6.2 en Windows está afectado. iTunes en versiones anteriores a 12.6 en Windows está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos eludir la Same Origin Policy y obtener información sensible a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2481)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. Safari en versiones anteriores a 10.1 está afectado. tvOS en versiones anteriores a 10.2 está afectado. El problema involucra al componente "WebKit". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un sitio web manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2482)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Kernel". Un desbordamiento del búfer permite a atacantes ejecutar código arbitrario en un contexto privilegiado a través de una aplicación manipulada.
Vulnerabilidad en productos Apple (CVE-2017-2483)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Kernel". Un desbordamiento del búfer permite a atacantes ejecutar código arbitrario en un contexto privilegiado a través de una aplicación manipulada.
Vulnerabilidad en productos Apple (CVE-2017-2485)
Gravedad:
AltaAlta
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "Security". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un archivo certificado X.509 manipulado.
Vulnerabilidad en productos Apple (CVE-2017-2487)
Gravedad:
MediaMedia
Publication date: 01/04/2017
Last modified:
08/03/2019
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.3 está afectado. macOS en versiones anteriores a 10.12.4 está afectado. tvOS en versiones anteriores a 10.2 está afectado. watchOS en versiones anteriores a 3.2 está afectado. El problema involucra al componente "FontParser". Esto permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria y caída de aplicación) a través de un archivo de fuente manipulado.
Vulnerabilidad en Intel Security Anti-Virus Engine (CVE-2016-8032)
Gravedad:
MediaMedia
Publication date: 31/03/2017
Last modified:
11/07/2017
Descripción:
Vulnerabilidad de ataques de integridad de software en Intel Security Anti-Virus Engine (AVE) 5200 hasta la versión 5800 permite a atacantes locales eludir la protección de seguridad local a través de un archivo de entrada manipulado.
Vulnerabilidad en IBM iNotes (CVE-2016-9990)
Gravedad:
MediaMedia
Publication date: 31/03/2017
Last modified:
11/07/2017
Descripción:
IBM iNotes 8.5 y 9.0 es vulnerable al envío de secuencias de comandos en sitios cruzados. Esta vulnerabilidad permite a los usuarios integrar código JavaScript arbitrario en la interfaz de usuario Web, alterando así la funcionalidad prevista que potencialmente conduce a la divulgación de credenciales dentro de una sesión de confianza. IBM Reference #: 1998824.
Vulnerabilidad en en la página Informe de configuración de MantisBT (adm_config_report.php) (CVE-2017-6973)
Gravedad:
BajaBaja
Publication date: 31/03/2017
Last modified:
11/07/2017
Descripción:
Una vulnerabilidad XSS en la página Informe de configuración de MantisBT (adm_config_report.php) permite a atacantes remotos inyectar código arbitrario a través de un parámetro 'acción' creado. Esto se fija en 1.3.8, 2.1.2 y 2.2.2.
Vulnerabilidad en en la página MantisBT Move Attachments (CVE-2017-7241)
Gravedad:
BajaBaja
Publication date: 31/03/2017
Last modified:
11/07/2017
Descripción:
Una vulnerabilidad XSS en la página MantisBT Move Attachments (move_attachments_page.php, parte de las herramientas de administración) permite a atacantes remotos inyectar código arbitrario mediante un parámetro 'type' manipulado si la configuración de CSP lo permite. Esto se fija en 1.3.9, 2.1.3 y 2.2.3. Tenga en cuenta que esta vulnerabilidad no es explotable si se elimina el directorio de herramientas de administración, como se recomienda en las "Tareas posteriores a la instalación y actualización" de la guía de administración de MantisBT. También se muestra un recordatorio para hacerlo en la página de inicio de sesión.
Vulnerabilidad en en la página informe de configuración de MantisBT (adm_config_report.php) (CVE-2017-7309)
Gravedad:
BajaBaja
Publication date: 31/03/2017
Last modified:
11/07/2017
Descripción:
Una vulnerabilidad XSS en la página informe de configuración de MantisBT (adm_config_report.php) permite a atacantes remotos inyectar código arbitrario (si la configuración de CSP lo permite) mediante un parámetro 'config_option' manipulado. Esto se fija en 1.3.9, 2.1.3 y 2.2.3.
Vulnerabilidad en software Integrity Attacks en Intel Security Anti-Virus Engine (CVE-2016-8031)
Gravedad:
MediaMedia
Publication date: 28/03/2017
Last modified:
11/07/2017
Descripción:
Vulnerabilidad en el software Integrity Attacks en Intel Security Anti-Virus Engine (AVE) 5200 hasta la versión 5800 permite a usuarios locales eludir la protección local de seguridad a través de un archivo de entrada manipulado.
Vulnerabilidad en IBM Tivoli Key Lifecycle Manager (CVE-2016-6102)
Gravedad:
MediaMedia
Publication date: 27/03/2017
Last modified:
11/07/2017
Descripción:
IBM Tivoli Key Lifecycle Manager 2.5 and 2.6 stores sensitive information in URL parameters. This may lead to information disclosure if unauthorized parties have access to the URLs via server logs, referrer header or browser history. IBM Reference #: 2000359.
Vulnerabilidad en Traffic Management Microkernel en F5 BIG-IP (CVE-2016-9252)
Gravedad:
MediaMedia
Publication date: 27/03/2017
Last modified:
06/06/2019
Descripción:
El Traffic Management Microkernel (TMM) en F5 BIG-IP en versiones anteriores a 11.5.4 HF3, 11.6.x en versiones anteriores a 11.6.1 HF2 y 12.x en versiones anteriores a 12.1.2 no maneja adecuadamente las opciones MTU de ruta mínima para IPv6, lo que permite a atacantes remotos provocar una denegación de servicio (DoS) a través de vectores no especificados.
Vulnerabilidad en la función ssh_agent_channel_data en PuTTY (CVE-2017-6542)
Gravedad:
AltaAlta
Publication date: 27/03/2017
Last modified:
30/10/2018
Descripción:
La función ssh_agent_channel_data en PuTTY en versiones anteriores a 0.68 permite a atacantes remotos tener un impacto no especificado a través de un valor de longitud grande en un mensaje de protocolo de agente y aprovechando la capacidad para conectarse al socket de Unix-domain que representa la conexión de agente reenviada, lo que desencadena un desbordamiento de búfer.
Vulnerabilidad en dispositivos F5 BIG-IP (CVE-2016-7474)
Gravedad:
BajaBaja
Publication date: 27/03/2017
Last modified:
06/06/2019
Descripción:
En algunos casos la caché binaria MCPD en dispositivos F5 BIG-IP pueden permitir a un usuario con acceso Advanced Shell, o privilegios generar un qkview, para obtener temporalmente información normalmente irrecuperable.
Vulnerabilidad en Moodle (CVE-2017-2641)
Gravedad:
AltaAlta
Publication date: 26/03/2017
Last modified:
15/08/2017
Descripción:
En Moodle 2.x y 3.x, puede ocurrir una inyección de SQL a través de las preferencias de usuario.
Vulnerabilidad en Moodle (CVE-2017-2643)
Gravedad:
MediaMedia
Publication date: 26/03/2017
Last modified:
11/07/2017
Descripción:
En Moodle 3.2.x, la búsqueda global muestra nombres de usuario para usuarios no autenticados.
Vulnerabilidad en Moodle (CVE-2017-2644)
Gravedad:
MediaMedia
Publication date: 26/03/2017
Last modified:
11/07/2017
Descripción:
En Moodle 3.x, XSS puede ocurrir a través de evidencia de aprendizaje previo.
Vulnerabilidad en Moodle (CVE-2017-2645)
Gravedad:
MediaMedia
Publication date: 26/03/2017
Last modified:
11/07/2017
Descripción:
En Moodle 3.x, XSS puede ocurrir a través de adjuntos a la evidencia de aprendizaje previo.
Vulnerabilidad en SAP GUI (CVE-2017-6950)
Gravedad:
AltaAlta
Publication date: 23/03/2017
Last modified:
02/10/2019
Descripción:
SAP GUI 7.2 hasta la versión 7.5 permite a atacantes remotos eludir las restricciones de política de seguridad previstas y ejecutar código arbitrario a través de un código ABAP manipulado, vulnerabilidad también conocida como SAP Security Note 2407616.
Vulnerabilidad en Nessus 6.6.2 (CVE-2017-7199)
Gravedad:
AltaAlta
Publication date: 23/03/2017
Last modified:
02/10/2019
Descripción:
Nessus 6.6.2 - 6.10.3 contiene un fallo relacionado con permisos inseguros que pueden permitir a un atacante local remoto aumentar privilegios cuando el software se está ejecutando en Agent Mode. Version 6.10.4 soluciona este problema.
Vulnerabilidad en dispositivos F5 BIG-IP (CVE-2016-7468)
Gravedad:
MediaMedia
Publication date: 23/03/2017
Last modified:
06/06/2019
Descripción:
Un atacante remoto no autenticado puede ser capaz de interrumpir los servicios en los dispositivos F5 BIG-IP 11.4.1 - 11.5.4 con con tráfico red maliciosamente manipulado. Esta vulnerabilidad afecta a los servidores virtuales asociados con perfiles TCP cuando el valor de variable de sistema BIG-IP tm.tcpprogressive db está configurado como ajuste predeterminado "habilitado". El valor por defecto para la variable tm.tcpprogressive db es "negotiate". Un atacante puede ser capaz de interrumpir el tráfico o provocar que el sistema BIG-IP haga un failover a otro dispositivo del grupo de dispositivos.
Vulnerabilidad en en la inderfaz de la web de Cisco IOS XE (CVE-2017-3856)
Gravedad:
AltaAlta
Publication date: 22/03/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad en la interface web del usuario de Cisco IOS XE 3.1 en versiones hasta 3.17 podría permitir a un atacante remoto no autenticado hacer que un dispositivo afectado se recargue. La vulnerabilidad se debe al manejo insuficiente de los recursos por el software afectado cuando la interfaz de usuario web está bajo una carga alta. Un atacante podría explotar esta vulnerabilidad enviando un gran número de solicitudes a la interfaz de usuario web del software afectado. Una explotación exitosa podría permitir al atacante hacer que el dispositivo afectado se vuelva a cargar, dando como resultado una condición de denegación de servicio (DoS). Para aprovechar esta vulnerabilidad, el atacante debe tener acceso a la interfaz de administración del software afectado, que suele estar conectado a una red de administración restringida. Esta vulnerabilidad afecta a los dispositivos Cisco que ejecutan una versión vulnerable del software Cisco IOS XE, si está habilitada la interfaz de usuario web del software. De forma predeterminada, la interfaz de usuario web no está habilitada. ID de bugs de Cisco: CSCup70353.
Vulnerabilidad en Layer 2 Tunneling Protocol (CVE-2017-3857)
Gravedad:
AltaAlta
Publication date: 22/03/2017
Last modified:
27/07/2020
Descripción:
Una vulnerabilidad en la función de análisis en Layer 2 Tunneling Protocol (L2TP) de Cisco IOS (12.0 en versiones hasta 12.4 y 15.0 en versiones hasta 15.6) y Cisco IOS XE (3.1 en versiones hasta 3.18) podría permitir a un atacante remoto no autenticado provocar recarga de los dispositivo afectado. La vulnerabilidad se debe a la insuficiente validación de los paquetes L2TP. Una explotación exitosa podría permitir al atacante hacer que el dispositivo afectado se vuelva a cargar, dando como resultado una condición de denegación de servicio (DoS). Esta vulnerabilidad afecta a los dispositivos Cisco que ejecutan una versión vulnerable de Cisco IOS o Cisco IOS XE Software si la característica L2TP está habilitada para el dispositivo y el dispositivo está configurado como punto final L2TP Versión 2 (L2TPv2) o L2TP Versión 3 (L2TPv3). De forma predeterminada, la función L2TP no está habilitada. ID de bugs de Cisco: CSCuy82078.
Vulnerabilidad en la funcionalidad Zero Touch Provisioning de Cisco ASR 920 Series Aggregation Services Routers (CVE-2017-3859)
Gravedad:
AltaAlta
Publication date: 22/03/2017
Last modified:
11/07/2017
Descripción:
Una vulnerabilidad en el código DHCP para la funcionalidad Zero Touch Provisioning de Cisco ASR 920 Series Aggregation Services Routers podría permitir a atacantes remotos no autenticados hacer que un dispositivo afectado vuelva a cargar. La vulnerabilidad es debida a una vulnerabilidad de formato de cadena cuando procesa un paquete DHCP manipulado para Zero Touch Provisioning. Un atacante podría explotar esta vulnerabilidad enviando un paquete DHCP especialmente manipulado a un dispositivo afectado. Una explotacón podría permitir al atacante hacer que el dispositivo se volviera a cargar, dando como resultado una condición de denegación de servicio (DoS). Esta vulnerabilidad afecta a los enrutadores de servicios de agregación de la serie ASR 920 de Cisco que ejecutan una versión afectada del software Cisco IOS XE (3.13 en versiones hasta 3.18) y están escuchando en el puerto del servidor DHCP. De forma predeterminada, los dispositivos no escuchan en el puerto del servidor DHCP. ID de bugs de Cisco: CSCuy56385.
Vulnerabilidad en Cisco IOS y Cisco IOS XE (CVE-2017-3864)
Gravedad:
AltaAlta
Publication date: 22/03/2017
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad en la implementación del cliente DHCP de Cisco IOS (12.2, 12.4 y 15.0 hasta la versión 15.6) y Cisco IOS XE (3.3 hasta la versión 3.7) podría permitir a un atacante remoto no autenticado provocar una denegación de servicio (DoS). La vulnerabilidad se produce durante el análisis de un paquete DHCP elaborado. Un atacante podría explotar esta vulnerabilidad mediante el envío de paquetes DHCP creados a un dispositivo afectado configurado como un cliente DHCP. Una explotación exitosa podría permitir al atacante hacer que el dispositivo se volviera a cargar, lo que daría lugar a una condición DoS. Esta vulnerabilidad afecta a los dispositivos Cisco que ejecutan una versión vulnerable del software Cisco IOS o IOS XE y que utilizan una configuración de cliente DHCP específica. ID de bugs de Cisco: CSCuu43892.
Vulnerabilidad en EMC RecoverPoint, EMC RecoverPoint for Virtual Machines (CVE-2016-6650)
Gravedad:
BajaBaja
Publication date: 21/03/2017
Last modified:
11/07/2017
Descripción:
EMC RecoverPoint en versiones anteriores a 5.0 y EMC RecoverPoint para versiones de maquinas virtuales en versiones anteriores 5.0 tienen una vulnerabilidad SSL Stripping que puede ser explotada potencialmente por usuarios maliciosos para comprometer el sistema afectado.
Vulnerabilidad en Autonomic Networking Infrastructure (CVE-2017-3849)
Gravedad:
MediaMedia
Publication date: 21/03/2017
Last modified:
11/07/2017
Descripción:
Una vulnerabilidad en la Autonomic Networking Infrastructure (ANI) registrar característica de software Cisco IOS (posiblemente 15.2 en versiones hasta 15.6) y software Cisco IOS XE (posiblemente 3.7 en versiones hasta 3.18 y 16) podría permitir a un atacante no autenticado y adyacente provocar una denegación de servicio (DoS). La vulnerabilidad se debe a la validación incompleta de entrada en ciertos paquetes creados. Un atacante podría explotar esta vulnerabilidad mediante el envío de un paquete de descubrimiento de canal de red autonómico a un dispositivo que tiene todas las características siguientes: (1) funcionamiento a Cisco IOS Software o software Cisco IOS XE que admita la función ANI; (2) configurado como registrador autonómico; (3) tiene una lista blanca configurada. Un explotación podría permitir al atacante hacer que el dispositivo afectado se volviera a cargar. Nota: Las redes autónomas deben configurarse con una lista blanca. No elimine la lista blanca como solución. Cisco Bug IDs: CSCvc42717.
Vulnerabilidad en Autonomic Networking Infrastructure, software Cisco IOS XE (CVE-2017-3850)
Gravedad:
AltaAlta
Publication date: 21/03/2017
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la Autonomic Networking Infrastructure (ANI) característica del Software Cisco IOS (15.4 en versiones hasta 15.6) y software Cisco IOS XE (3.7 en versiones hasta 3.18 y 16) podría permitir a un atacante remoto no autenticado, provocar una denegación de servicio (DoS). La vulnerabilidad se debe a la validación incompleta de los paquetes manipulados. Un atacante podría explotar esta vulnerabilidad enviando paquete IPv6 manipulado a un dispositivo que ejecuta un software Cisco IOS o software Cisco IOS XE que soporta la función ANI. Un dispositivo debe cumplir dos condiciones para ser afectado por esta vulnerabilidad: (1) el dispositivo debe estar ejecutando una versión de software Cisco o software Cisco IOS XE que soporta ANI (Independientemente de si ANI está configurado); Y (2) el dispositivo debe tener una interfaz IPv6 accesible. Un explotación podría permitir al atacante hacer que el dispositivo afectado vuelva a cargar. Cisco Bug IDs: CSCvc42729.
Vulnerabilidad en Cisco Prime Service Catalog (CVE-2017-3866)
Gravedad:
MediaMedia
Publication date: 17/03/2017
Last modified:
11/07/2017
Descripción:
Una vulnerabilidad en el código marco web de Cisco Prime Service Catalog podría permitir que un atacante remoto no autenticado lleve a cabo un ataque XSS (cross-site scripting) contra el usuario de la interfaz web del sistema afectado. Más información: CSCvc79842 CSCvc79846 CSCvc79855 CSCvc79873 CSCvc79882 CSCvc79891. Lanzamientos afectados conocidos: 11.1.2.
Vulnerabilidad en Cisco Adaptive Security Appliance de Border Gateway Protocol (CVE-2017-3867)
Gravedad:
MediaMedia
Publication date: 17/03/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad en la implementación de BFD (Border Forwarding Detection) del software Cisco Adaptive Security Appliance (ASA) de Border Gateway Protocol (BGP) podría permitir a un atacante remoto no autenticado omitir la lista de control de acceso (ACL) para tráfico TCP y UDP específico. Más información: CSCvc79842 CSCvc79846 CSCvc79855 CSCvc79873 CSCvc79882 CSCvc79891. Lanzamientos afectados conocidos: 11.1.2.
Vulnerabilidad en Cisco AsyncOS Software para Cisco Web Security Appliance (CVE-2017-3870)
Gravedad:
MediaMedia
Publication date: 17/03/2017
Last modified:
11/07/2017
Descripción:
Una vulnerabilidad en la característica de filtrado de URL de Cisco AsyncOS Software para Cisco Web Security Appliance (WSA) podría permitir a un atacante remoto no autenticado omitir una regla de filtro de URL configurada. Productos afectados: esta vulnerabilidad afecta a todas las versiones anteriores a la primera versión fija de Cisco AsyncOS Software para Cisco Web Security Appliance (WSA), tanto dispositivos virtuales como de hardware, que están configurados con filtros de URL para el análisis de correo electrónico. Más información: CSCvc69700. Lanzamientos afectados conocidos: 8.5.3-069 9.1.1-074 9.1.2-010.
Vulnerabilidad en Cisco Nexus serie 7000 (CVE-2017-3875)
Gravedad:
MediaMedia
Publication date: 17/03/2017
Last modified:
11/07/2017
Descripción:
Vulnerabilidad en mecanismos de filtrado de control de acceso afecta a ciertos mecanismos de filtrado de control de acceso en los conmutadores Cisco Nexus serie 7000, lo que podría permitir a un atacante remoto no autenticado omitir el tráfico definido configurado en una lista de control de acceso (ACL) del sistema afectado. Más información: CSCtz59354. Liberaciones conocidas conocidas: 5.2(4) 6.1(3)S5 6.1(3)S6 6.2(1.121)S0 7.2(1)D1(1) 7.3(0)ZN(0.161) 7.3(1)N1(0.1). Known Fixed Releases: 7.3(0)D1(1) 6.2(2) 6.1(5) 8.3(0)KMT(0.24) 8.3(0)CV(0.337) 7.3(1)N1(1) 7.3(0)ZN(0.210) 7.3(0)ZN(0.177) 7.3(0)ZD(0.194) 7.3(0)TSH(0.99) 7.3(0)SC(0.14) 7.3(0)RSP(0.7) 7.3(0)N1(1) 7.3(0)N1(0.193) 7.3(0)IZN(0.13) 7.3(0)IB(0.102) 7.3(0)GLF(0.44) 7.3(0)D1(0.178) 7.1(0)D1(0.14) 7.0(3)ITI2(1.6) 7.0(3)ISH1(2.13) 7.0(3)IFD6(0.78) 7.0(3)IFD6(0) 7.0(3)IDE6(0.12) 7.0(3)IDE6(0) 7.0(3)I2(1) 7.0(3)I2(0.315) 7.0(1)ZD(0.3) 7.0(0)ZD(0.84) 6.2(1.149)S0 6.2(0.285) 6.1(5.32)S0 6.1(4.97)S0 6.1(2.30)S0.
Vulnerabilidad en Cisco WebEx Meetings Server (CVE-2017-3880)
Gravedad:
MediaMedia
Publication date: 17/03/2017
Last modified:
11/07/2017
Descripción:
Una vulnerabilidad de desvío de autenticación en Cisco WebEx Meetings Server podría permitir que un atacante remoto no autenticado acceda a la información limitada de reuniones en el servidor de Cisco WebEx Meetings. Más información: CSCvd50728. Lanzamientos afectados conocidos: 2.6 2.7 2.8 CWMS-2.5MR1 Orion1.1.2.patch T29_orion_merge.
Vulnerabilidad en Cisco Cluster Management Protocol en Cisco IOS y Cisco IOS XE Software (CVE-2017-3881)
Gravedad:
AltaAlta
Publication date: 17/03/2017
Last modified:
07/08/2020
Descripción:
Una vulnerabilidad en el código de procesamiento de Cisco Cluster Management Protocol (CMP) en Cisco IOS y Cisco IOS XE Software podría permitir a un atacante remoto no autenticado provocar una recarga de un dispositivo afectado o ejecutar código remotamente con privilegios elevados. El Cluster Management Protocol utiliza internamente Telnet como un protocolo de señalización y comando entre los miembros del clúster. La vulnerabilidad se debe a la combinación de dos factores: (1) la imposibilidad de restringir el uso de las opciones Telnet específicas de CMP sólo a las comunicaciones locales internas entre los miembros del clúster y, en cambio, aceptar y procesar dichas opciones a través de cualquier conexión Telnet con un dispositivo afectado; y (2) el procesamiento incorrecto de las opciones malformadas de Telnet específicas de CMP. Un atacante podría explotar esta vulnerabilidad enviando opciones malformadas de Telnet específicas de CMP mientras establecía una sesión Telnet con un dispositivo Cisco afectado configurado para aceptar conexiones Telnet. Un exploit podría permitir a un atacante ejecutar código arbitrario y obtener el control total del dispositivo o provocar una recarga del dispositivo afectado. Esto afecta a los conmutadores Catalyst, los conmutadores Embedded Service 2020, el módulo de servicio Enhanced Layer 2 EtherSwitch, el módulo de servicio Enhanced Layer 2/3 EtherSwitch, el conmutador Gigabit Ethernet (CGESM) para HP, los conmutadores IE Industrial Ethernet, el conmutador ME 4924-10GE, la pasarela RF 10 , y módulo de servicio EtherSwitch de capa 2/3 SM-X. ID de errores de Cisco: CSCvd48893.
Vulnerabilidad en la Graphics Device Interface en múltiples productos de Microsoft Windows (CVE-2017-0001)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
La Graphics Device Interface (GDI) en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1 y Windows 10 Gold, 1511 y 1607 permite a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Windows GDI Elevation of Privilege Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0005, CVE-2017-0025 y CVE-2017-0047.
Vulnerabilidad en la Graphics Device Interface en múltiples productos de Microsoft Windows (CVE-2017-0005)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
La Graphics Device Interface (GDI) en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1 y Windows 10 Gold, 1511 y 1607 permite a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Windows GDI Elevation of Privilege Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0001, CVE-2017-0025 y CVE-2017-0047.
Vulnerabilidad en múltiples productos de Microsoft (CVE-2017-0006)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Microsoft Excel 2007 SP3, Office Compatibility Pack SP3, Excel Viewer y Excel Services on SharePoint Server 2007 SP3 permiten a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria) a través de un documento manipulado, vulnerabilidad también conocida como "Microsoft Office Memory Corruption Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0019, CVE-2017-0020, CVE-2017-0030, CVE-2017-0031, CVE-2017-0052 y CVE-2017-0053.
Vulnerabilidad en Device Guard en Microsoft Windows y Windows Server (CVE-2017-0007)
Gravedad:
BajaBaja
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Device Guard en Microsoft Windows 10 Gold, 1511, 1607 y Windows Server 2016 permite a atacantes remotos modificar secuencias de comandos PowerShell sin invalidar firmas asociadas, vulnerabilidad también conocida como "PowerShell Security Feature Bypass Vulnerability".
Vulnerabilidad en Microsoft Internet Explorer y Microsoft Edge (CVE-2017-0012)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Microsoft Internet Explorer 11 y Microsoft Edge permiten a atacantes remotos suplantar contenido web a través de un sitio web manipulado, también conocido como "Microsoft Browser Spoofing Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0033 y CVE-2017-0069.
Vulnerabilidad en el Windows Graphics Component en múltiples productos de Microsoft (CVE-2017-0014)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
El Windows Graphics Component en Microsoft Office 2010 SP2; Windows Server 2008 R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1; Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permite a atacantes remotos ejecutar código arbitrario a través de un sitio web manipulado, también conocido como "Windows Graphics Component Remote Code Execution Vulnerability". Esta vulnerabilidad es diferente de la descrita en CVE-2017-0108.
Vulnerabilidad en múltiples productos de Microsoft Windows (CVE-2017-0016)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
24/07/2017
Descripción:
Microsoft Windows 10 Gold, 1511 y 1607; Windows 8.1; Windows RT 8.1; Windows Server 2012 R2 y Windows Server 2016 no maneja adecuadamente ciertas peticiones en paquetes SMBv2 y SMBv3, lo que permite a atacantes remotos ejecutar código arbitrario a través de un paquete SMBv2 o SMBv3 manipulado al servicio del Server, también conocido como "SMBv2/SMBv3 Null Dereference Denial of Service Vulnerability".
Vulnerabilidad en Microsoft Excel y Office Web Apps Server (CVE-2017-0020)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Microsoft Excel 2016, Excel 2010 SP2, Excel 2013 RT SP1 y Office Web Apps Server 2013 SP1 permiten a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria) a través de un documento manipulado, vulnerabilidad también conocida como "Microsoft Office Memory Corruption Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0006, CVE-2017-0019, CVE-2017-0030, CVE-2017-0031, CVE-2017-0052 y CVE-2017-0053.
Vulnerabilidad en Microsoft XML Core Services en múltiples productos de Windows (CVE-2017-0022)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
27/09/2017
Descripción:
Microsoft XML Core Services (MSXML) en Windows 10 Gold, 1511 y 1607; Windows 7 SP1; Windows 8.1; Windows RT 8.1; Windows Server 2008 SP2 y R2 SP1; Windows Server 2012 Gold y R2; Windows Server 2016 y Windows Vista SP2 maneja incorrectamente objetos en la memoria, permitiendo a atacantes probar archivos en disco a través de un sitio web manipulado, vulnerabilidad también conocida como "Microsoft XML Information Disclosure Vulnerability".
Vulnerabilidad en los controladores del modo kernel en Microsoft Windows y Windows Server (CVE-2017-0024)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
Los controladores del modo kernel en Microsoft Windows 10 1607 y Windows Server 2016 permiten a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Win32k Elevation of Privilege Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0026, CVE-2017-0056, CVE-2017-0078, CVE-2017-0079, CVE-2017-0080, CVE-2017-0081 y CVE-2017-0082.
Vulnerabilidad en los controladores del modo kernel en múltiples productos de Microsoft Windows (CVE-2017-0025)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
Los controladores del modo kernel en Microsoft Windows Vista; Windows Server 2008 SP2 y R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1; Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permiten a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Win32k Elevation of Privilege Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0001, CVE-2017-0005 y CVE-2017-0047.
Vulnerabilidad en los controladores del modo kernel en Microsoft Windows y Windows Server (CVE-2017-0026)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
Los controladores del modo kernel en Microsoft Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permiten a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Win32k Elevation of Privilege Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0024, CVE-2017-0056, CVE-2017-0078, CVE-2017-0079, CVE-2017-0080, CVE-2017-0081 y CVE-2017-0082.
Vulnerabilidad en múltiples productos de Microsoft Excel (CVE-2017-0027)
Gravedad:
BajaBaja
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Microsoft Excel 2007 SP3, Excel 2010 SP2, Excel 2013 RT SP1, Excel 2016, Office Compatibility Pack SP3 y Excel Services en SharePoint Server 2013 SP1 permiten a atacantes remotos obtener información sensible de la memoria de proceso a través de un documento de Office manipulado, vulnerabilidad también conocida como "Microsoft Office Information Disclosure Vulnerability".
Vulnerabilidad en Microsoft Word (CVE-2017-0029)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
Microsoft Office 2010 SP2, Word 2010 SP2, Word 2013 RT SP1 y Word 2016 permiten a atacantes remotos provocar una denegación de servicio (cuelgue de aplicación) a través de un documento Office manipulado, vulnerabilidad también conocida como "Microsoft Office Denial of Service Vulnerability".
Vulnerabilidad en múltiples productos de Microsoft Office (CVE-2017-0030)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Microsoft Office 2010 SP2, Office Compatibility Pack SP3, Office Web Apps Server 2010 SP2, Word 2007 SP3, Word 2010 SP2 y Word Automation Services en SharePoint Server 2010 SP2 permiten a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria) a través de un documento manipulado, vulnerabilidad también conocida como "Microsoft Office Memory Corruption Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0006, CVE-2017-0019, CVE-2017-0020, CVE-2017-0031, CVE-2017-0052 y CVE-2017-0053.
Vulnerabilidad en múltiples productos de Microsoft Office (CVE-2017-0031)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Microsoft Office 2010 SP2, Office Compatibility Pack SP3, Word 2007 SP3 y Word 2010 SP2 permiten a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria) a través de un documento manipulado, vulnerabilidad también conocida como "Microsoft Office Memory Corruption Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0006, CVE-2017-0019, CVE-2017-0020, CVE-2017-0030, CVE-2017-0052 y CVE-2017-0053.
Vulnerabilidad en Microsoft Internet Explorer y Microsoft Edge (CVE-2017-0033)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Microsoft Internet Explorer 11 y Microsoft Edge permiten a atacantes remotos suplantar contenido web a través de un sitio web manipulado, vulnerabilidad también conocida como "Microsoft Browser Spoofing Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0012 y CVE-2017-0069.
Vulnerabilidad en Microsoft Windows Vista y Server (CVE-2017-0039)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
Microsoft Windows Vista SP2 y Server 2008 SP2 no maneja adecuadamente la carga de biblioteca de enlace dinámico (DLL), lo que permite a usuarios locales obtener privilegios a través de una aplicación manipulada, también conocido como "Library Loading Input Validation Remote Code Execution Vulnerability".
Vulnerabilidad en Windows Media Player en múltiples productos de Microsoft Windows (CVE-2017-0042)
Gravedad:
BajaBaja
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Windows Media Player en Microsoft Windows 8.1; Windows Server 2012 R2; Windows RT 8.1; Windows 7 SP1; Windows 2008 SP2 y R2 SP1, Windows Server 2016; Windows Vista SP2 y Windows 10 Gold, 1511 y 1607 permite a atacantes remotos obtener información sensible a través de un sitio web manipulado, vulnerabilidad también conocida como "Windows Media Player Information Disclosure Vulnerability".
Vulnerabilidad en Active Directory Federation Services en múltiples productos de Microsoft Windows (CVE-2017-0043)
Gravedad:
BajaBaja
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Active Directory Federation Services en Microsoft Windows 10 1607, Windows Server 2008 SP2 y R2 SP1, Windows Server 2012 Gold y R2 y Windows Server 2016 permite a usuarios locales obtener información sensible a través de una aplicación manipulada, vulnerabilidad también conocida como "Microsoft Active Directory Federation Services Information Disclosure Vulnerability".
Vulnerabilidad en Windows DVD Maker en múltiples productos de Windows (CVE-2017-0045)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
15/08/2017
Descripción:
Windows DVD Maker en Windows 7 SP1, Windows Server 2008 SP2 y R2 SP1 y Windows Vista SP2 no analiza adecuadamente archivos .msdvd manipulados, lo que permite a atacantes obtener información para comprometer un sistema objetivo, vulnerabilidad también conocida como "Windows DVD Maker Cross-Site Request Forgery Vulnerability".
Vulnerabilidad en la Graphics Device Interface en múltiples productos de Microsoft Windows (CVE-2017-0047)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
La Graphics Device Interface (GDI) en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1 y Windows 10 Gold, 1511 y 1607 permite a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Windows GDI Elevation of Privilege Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0001, CVE-2017-0005 y CVE-2017-0025.
Vulnerabilidad en a API del kernel en múltiples productos de Microsoft Windows (CVE-2017-0050)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
La API del kernel en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Windows 7; Windows 8; Windows 10 Gold, 1511 y 1607; Windows RT 8.1; Windows Server 2012 Gold y R2 y Windows Server 2016 no aplica correctamente permisos, lo que permite a usuarios locales suplantar procesos, suplantar comunicación entre procesos o provocar una denegación de servicio a través de una aplicación manipulada, vulnerabilidad también conocida como "Windows Kernel Elevation of Privilege Vulnerability".
Vulnerabilidad en múltiples productos de Microsoft Office (CVE-2017-0052)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Microsoft Office Compatibility Pack SP3, Excel 2007 SP3, Excel Viewer y Excel Services on SharePoint Server 2007 SP3 permiten a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria) a través de un documento manipulado, vulnerabilidad también conocida como "Microsoft Office Memory Corruption Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0006, CVE-2017-0019, CVE-2017-0020, CVE-2017-0030, CVE-2017-0031 y CVE-2017-0053.
Vulnerabilidad en múltiples productos de Microsoft Office (CVE-2017-0053)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Microsoft Office 2010 SP2, Office Compatibility Pack SP3, Word 2007 SP3, Word 2010 SP2, Word 2013 SP1, Word 2013 R2 SP1, Word 2016 y Word Viewer permiten a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (corrupción de memoria) a través de un documento manipulado, vulnerabilidad también conocida como "Microsoft Office Memory Corruption Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0006, CVE-2017-0019, CVE-2017-0020, CVE-2017-0030, CVE-2017-0031 y CVE-2017-0052.
Vulnerabilidad en Microsoft Internet Information Server en múltiples productos de Windows (CVE-2017-0055)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Microsoft Internet Information Server (IIS) en Windows Vista SP2; Windows Server 2008 SP2 y R2; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1; Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permite a atacantes remotos realizar XSS y ejecutar secuencias de comandos con privilegios de usuario local a través de una petición manipulada, vulnerabilidad también conocida como "Microsoft IIS Server XSS Elevation of Privilege Vulnerability".
Vulnerabilidad en los controladores del modo kernel en múltiples productos de Microsoft Windows (CVE-2017-0056)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
Los controladores del modo kernel en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1; Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permiten a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Win32k Elevation of Privilege Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0024, CVE-2017-0026, CVE-2017-0078, CVE-2017-0079, CVE-2017-0080, CVE-2017-0081, CVE-2017-0082.
Vulnerabilidad en Ciente DNS en múltiples productos de Microsoft Windows (CVE-2017-0057)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Ciente DNS en Microsoft Windows 8.1; Windows Server 2012 R2, Windows RT 8.1; Windows 10 Gold, 1511 y 1607 y Windows Server 2016 no procesa adecuadamente consultas DNS, lo que permite a atacantes remotos obtener información sensible a través de (1) convencer a un usuario de la estación de trabajo de que visite una página web no confiable o (2) engañar a un servidor para que envíe una consulta DNS a un servidor DNS malicioso, vulnerabilidad también conocida como "Windows DNS Query Information Disclosure Vulnerability".
Vulnerabilidad en la Graphics Device Interface en múltiples productos de Microsoft Windows (CVE-2017-0060)
Gravedad:
BajaBaja
Publication date: 16/03/2017
Last modified:
15/08/2017
Descripción:
The Graphics Device Interface (GDI) en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1 y Windows 10 Gold, 1511 y 1607 permite a atacantes remotos obtener información sensible de la memoria de proceso a través de un sitio web manipulado, vulnerabilidad también conocida como "GDI+ Information Disclosure Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0060 y CVE-2017-0062.
Vulnerabilidad en la funcionalidad de manejo de memoria Color Management Module en Windows (CVE-2017-0061)
Gravedad:
BajaBaja
Publication date: 16/03/2017
Last modified:
15/08/2017
Descripción:
La funcionalidad de manejo de memoria Color Management Module (ICM32.dll) en Windows Vista SP2, Windows Server 2008 SP2 y R2 y Windows 7 SP1 permite a atacantes remotos eludir ASLR y ejecutar código en combinación con otra vulnerabilidad a través de un sitio web manipulado, vulnerabilidad también conocida como "Microsoft Color Management Information Disclosure Vulnerability". Esta vulnerabilidad es diferente de la descrita en CVE-2017-0063.
Vulnerabilidad en la Graphics Device Interface en múltiples productos de Microsoft Windows (CVE-2017-0062)
Gravedad:
BajaBaja
Publication date: 16/03/2017
Last modified:
15/08/2017
Descripción:
La Graphics Device Interface (GDI) en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1 y Windows 10 Gold, 1511 y 1607 permite a atacantes remotos obtener información sensible de la memoria de proceso a través de un sitio web manipulado, vulnerabilidad también conocida como "GDI+ Information Disclosure Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0060 y CVE-2017-0073.
Vulnerabilidad en la funcionalidad de manejo de memoria Color Management Module en múltiples productos de Windows (CVE-2017-0063)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
15/08/2017
Descripción:
La funcionalidad de manejo de memoria Color Management Module (ICM32.dll) en Windows Vista SP2; Windows Server 2008 SP2 y R2 y Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1; Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permite a atacantes remotos eludir ASLR y ejecutar código en combinación con otra vulnerabilidad a través de un sitio web manipulado, vulnerabilidad también conocida como "Microsoft Color Management Information Disclosure Vulnerability". Esta vulnerabilidad es diferente de la descrita en CVE-2017-0061.
Vulnerabilidad en la Graphics Device Interface en múltiples productos de Microsoft Windows (CVE-2017-0073)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
La Graphics Device Interface (GDI) en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1 y Windows 10 Gold, 1511 y 1607 permite a atacantes remotos obtener información sensible de la memoria de proceso a través de un sitio web manipulado, vulnerabilidad también conocida como "Windows GDI+ Information Disclosure Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0060 y CVE-2017-0062.
Vulnerabilidad en los controladores del modo kernel en múltiples productos de Microsoft Windows (CVE-2017-0078)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
Los controladores del modo kernel en Microsoft Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1; Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permiten a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Win32k Elevation of Privilege Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0024, CVE-2017-0026, CVE-2017-0056, CVE-2017-0079, CVE-2017-0080, CVE-2017-0081, CVE-2017-0082.
Vulnerabilidad en los controladores del modo kernel en múltiples productos de Microsoft Windows (CVE-2017-0079)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
Los controladores del modo kernel en Windows 8.1; Windows Server 2012 R2; Windows RT 8.1 y Windows 10 Gold, 1511 y 1607 permiten a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Win32k Elevation of Privilege Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0024, CVE-2017-0026, CVE-2017-0056, CVE-2017-0078, CVE-2017-0080, CVE-2017-0081 y CVE-2017-0082.
Vulnerabilidad en los controladores del modo kernel en múltiples productos de Microsoft Windows (CVE-2017-0080)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
Los controladores del modo kernel en Microsoft Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permiten a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Win32k Elevation of Privilege Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0024, CVE-2017-0026, CVE-2017-0056, CVE-2017-0078, CVE-2017-0079, CVE-2017-0081 y CVE-2017-0082.
Vulnerabilidad en los controladores del modo kernel en múltiples productos de Microsoft Windows (CVE-2017-0081)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
Los controladores del modo kernel en Microsoft Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1; Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permiten a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Win32k Elevation of Privilege Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0024, CVE-2017-0026, CVE-2017-0056, CVE-2017-0078, CVE-2017-0079, CVE-2017-0080, CVE-2017-0082.
Vulnerabilidad en los controladores del modo kernel en múltiples productos de Microsoft Windows (CVE-2017-0082)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
Los controladores del modo kernel en Microsoft Windows 10 Gold y 1511 permiten a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Win32k Elevation of Privilege Vulnerability". Esta vulnerabilidad es distinta de aquellas descritas en CVE-2017-0024, CVE-2017-0026, CVE-2017-0056, CVE-2017-0078, CVE-2017-0079, CVE-2017-0080 y CVE-2017-0081.
Vulnerabilidad en on objeto DCOM en Helppane.exe en múltiples productos de Microsoft Windows (CVE-2017-0100)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
15/08/2017
Descripción:
Un objeto DCOM en Helppane.exe en Microsoft Windows 7 SP1; Windows Server 2008 R2; Windows 8.1; Windows Server 2012 Gold y R2; Windows RT 8.1; Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permite a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Windows HelpPane Elevation of Privilege Vulnerability".
Vulnerabilidad en los controladores del modo kernel en múltiples productos de Microsoft Windows (CVE-2017-0101)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
18/04/2018
Descripción:
Los controladores del modo kernel en Transaction Manager en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2; Windows 7 SP1; Windows 8.1, Windows Server 2012 Gold y R2, Windows RT 8.1; Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permiten a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Windows Elevation of Privilege Vulnerability".
Vulnerabilidad en múltiples productos de Microsoft Windows (CVE-2017-0102)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2; Windows 7 SP1; Windows 8.1, Windows Server 2012 Gold y R2, Windows RT 8.1; Windows 10 Gold, 1511 y 1607 y Windows Server 2016 permiten a atacantes con acceso a sistemas objetivo obtener privilegios cuando Windows no valida adecuadamente longitudes de búfer, vulnerabilidad también conocida como "Windows Elevation of Privilege Vulnerability".
Vulnerabilidad en la API del kernel en múltiples productos de Microsoft Windows (CVE-2017-0103)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
15/08/2017
Descripción:
La API del kernel en Microsoft Windows Vista SP2, Windows Server 2008 SP2 y R2 SP1, Windows 7 SP1 y Windows Server 2012 no maneja adecuadamente registro de objetos en la memoria, lo que permite a usuarios locales obtener privilegios a través de una aplicación manipulada, vulnerabilidad también conocida como "Windows Registry Elevation of Privilege Vulnerability".
Vulnerabilidad en el servicio iSNS Server en Microsoft Windows Server (CVE-2017-0104)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
30/10/2018
Descripción:
El servicio iSNS Server en Microsoft Windows Server 2008 SP2 y R2, Windows Server 2012 Gold y R2 y Windows Server 2016 permite a atacantes remotos emitir peticiones maliciosas a través de un desbordamiento de entero, vulnerabilidad también conocida como "iSNS Server Memory Corruption Vulnerability".
Vulnerabilidad en múltiples productos de Microsoft Windows (CVE-2017-0105)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Microsoft Word 2007 SP3, Office 2010 SP2, Word 2010 SP2, Word for Mac 2011, Office Compatibility Pack SP3, Word Automation Services en SharePoint Server 2010 SP2 y Office Web Apps 2010 SP2 permiten a atacantes remotos obtener información sensible de la memoria fuera de límites a través de un documento de Office manipulado, vulnerabilidad también conocida como "Microsoft Office Information Disclosure Vulnerability".
Vulnerabilidad en el Windows Graphics Component en múltiples productos de Microsoft (CVE-2017-0108)
Gravedad:
AltaAlta
Publication date: 16/03/2017
Last modified:
15/08/2017
Descripción:
El Windows Graphics Component en Microsoft Office 2007 SP3; 2010 SP2 y Word Viewer; Skype for Business 2016; Lync 2013 SP1; Lync 2010; Live Meeting 2007; Silverlight 5; Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1 y Windows 7 SP1 permite a atacantes remotos ejecutar código arbitrario a través de un sitio web manipulado, vulnerabilidad también conocida como "Graphics Component Remote Code Execution Vulnerability". Esta vulnerabilidad es diferente de la descrita en CVE-2017-0014.
Vulnerabilidad en Microsoft Exchange Outlook Web Access (CVE-2017-0110)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
09/08/2018
Descripción:
Vulnerabilidad de XSS en Microsoft Exchange Outlook Web Access (OWA) permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de un email o chat de cliente manipulado, vulnerabilidad también conocida como "Microsoft Exchange Server Elevation of Privilege Vulnerability".
Vulnerabilidad en Drupal (CVE-2017-6379)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
11/07/2017
Descripción:
Algunos caminos administrativos en Drupal 8.2.x en versiones anteriores a 8.2.7 no incluyeron protección para CSRF. Esto permitiría a un atacante deshabilitar algunos bloques en un sitio. Este problema se ve mitigado por el hecho de que los usuarios tendrían que conocer la ID del bloque.
Vulnerabilidad en Drupal (CVE-2017-6381)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
Una libreria de desarrollo de terceros que incluye las dependencias de desarrollo de Drupal 8 es vulnerable a ejecución remota de código. Esto se mitiga por la protección .htaccess predeterminada contra ejecución de PHP y el hecho de que las dependencias de desarrollo de Composer no están instaladas normalmente. Puede ser vulnerable a ésto si está ejecutando una versión de Drupal en versiones anteriores a 8.2.2. Para asegurarse de que no es vulnerable, puede quitar el directorio /vendor/phpunit de sus implementaciones de producción
Vulnerabilidad en Drupal (CVE-2017-6377)
Gravedad:
MediaMedia
Publication date: 16/03/2017
Last modified:
02/10/2019
Descripción:
Cuando se añade un archivo privado a través del editor en Drupal 8.2.x en versiones anteriores a 8.2.7, el editor no comprobará correctamente el acceso para el archivo que se adjunta, resultando en una elusión de acceso.
Vulnerabilidad en Secure Shell en el sistema operativo StarOS (CVE-2017-3819)
Gravedad:
AltaAlta
Publication date: 15/03/2017
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad de escalada de privilegios en el subsistema Secure Shell (SSH) en el sistema operativo StarOS para dispositivos Cisco ASR 5000 Series, ASR 5500 Series, ASR 5700 Series y Cisco Virtualized Packet Core podrían permitir a un atacante remoto autenticado obtener acceso no restringido al shell del root. La vulnerabilidad se debe a falta de validación de entrada de los parámetros pasados ??durante el inicio de sesión de SSH o SFTP. Un atacante podría explotar esta vulnerabilidad proporcionando una entrada de usuario manipulada a la interfaz de línea de comandos (CLI) de SSH o SFTP durante el inicio de sesión de SSH o SFTP. Una explotación podría permitir a un atacante autenticado obtener acceso privilegiado al root en el router. Nota: Sólo se puede utilizar tráfico dirigido al sistema afectado para explotar esta vulnerabilidad. Esta vulnerabilidad puede ser desencadenada a través de tráfico tanto IPv4 como IPv6. Se necesita una conexión TCP establecida hacia el puerto 22, el puerto por defecto SSH, para realizar el ataque. El atacante debe tener credenciales válidas para iniciar sesión en el sistema a través de SSH o SFTP. Se ha confirmado que los siguientes productos son vulnerables: los dispositivos Cisco ASR 5000/5500/5700 que ejecutan StarOS después de 17.7.0 y anteriores a 18.7.4, 19.5 y 20.2.3 con SSH configurados son vulnerables. Los dispositivos Cisco Virtualized Packet Core - Single Instance (VPC-SI) y Distributed Instrance (VPC-DI) que ejecutan StarOS en versiones anteriores a N4.2.7 (19.3.v7) y N4.7 (20.2.v0) con SSH configurado son vulnerables. ID de errores de Cisco: CSCva65853.
Vulnerabilidad en Client Manager Server de Cisco Workload Automation y Cisco Tidal Enterprise Scheduler (CVE-2017-3846)
Gravedad:
MediaMedia
Publication date: 15/03/2017
Last modified:
11/07/2017
Descripción:
Una vulnerabilidad en el Client Manager Server de Cisco Workload Automation y Cisco Tidal Enterprise Scheduler podría permitir a un atacante remoto no autenticado recuperar cualquier archivo de Client Manager Server. La vulnerabilidad se debe a la insuficiente validación de entradas. Un atacante podría explotar esta vulnerabilidad enviando una URL manipulada a Client Manager Server. Un exploit podría permitir al atacante recuperar cualquier archivo de Cisco Workload Automation o Cisco Tidal Enterprise Scheduler Client Manager Server. Esta vulnerabilidad afecta a los siguientes productos: Cisco Tidal Enterprise Scheduler Client Manager Server versión 6.2.1.435 y versiones posteriores, Cisco Workload Automation Client Manager Server versión 6.3.0.116 y versiones posteriores. ID de errores de Cisco: CSCvc90789.
Vulnerabilidad en Cisco Wireless LAN Controller (CVE-2017-3854)
Gravedad:
AltaAlta
Publication date: 15/03/2017
Last modified:
11/07/2017
Descripción:
Una vulnerabilidad en el código de malla del software Cisco Wireless LAN Controller (WLC) podría permitir a un atacante remoto no autenticado hacerse pasar por un WLC en una topología en malla. La vulnerabilidad se debe a una autenticación insuficiente del punto de acceso padre en una configuración de malla. Un atacante podría explotar esta vulnerabilidad forzando al sistema de destino a desconectarse del punto de acceso padre correcto y volver a conectarse a un punto de acceso deshonesto propiedad del atacante. Un exploit podría permitir al atacante controlar el tráfico que fluye a través del punto de acceso afectado o tomar el control total del sistema de destino. Esta vulnerabilidad afecta a los siguientes productos que ejecutan una versión vulnerable del software Wireless LAN Controller y están configurados para el modo de malla: Controlador inalámbrico Cisco 8500 Series, Controlador inalámbrico Cisco 5500 Series, Controlador inalámbrico Cisco 2500 Series, Controlador inalámbrico Cisco Flex 7500 Series, Controlador inalámbrico virtual Cisco , Wireless Services Module 2 (WiSM2). Tenga en cuenta que se necesita una configuración adicional además de actualizar a una versión fija. ID de errores de Cisco: CSCuc98992 CSCuu14804.
Vulnerabilidad en productos Apple (CVE-2017-2364)
Gravedad:
MediaMedia
Publication date: 20/02/2017
Last modified:
15/08/2017
Descripción:
Se ha descubierto un problema en ciertos productos Apple. iOS en versiones anteriores a 10.2.1 está afectado. Safari en versiones anteriores a 10.0.3 está afectado. El problema involucra el componente "WebKit". Esto permite a atacantes remotos eludir la Same Origin Policy y obtener información sensible a través de un sitio web manipulado.
Vulnerabilidad en la función get_data en zipimport.c en CPython (CVE-2016-5636)
Gravedad:
AltaAlta
Publication date: 02/09/2016
Last modified:
09/02/2019
Descripción:
Desbordamiento de entero en la función get_data en zipimport.c en CPython (también conocido como Python) en versiones anteriores a 2.7.12, 3.x en versiones anteriores a 3.4.5 y 3.5.x en versiones anteriores a 3.5.2 permite a atacantes remotos tener impacto no especificado a través de un valor de tamaño de datos negativo, lo que desencadena un desbordamiento de búfer basado en memoria dinámica.
Vulnerabilidad en Apache (CVE-2007-6750)
Gravedad:
MediaMedia
Publication date: 27/12/2011
Last modified:
09/01/2018
Descripción:
El servidor HTTP Apache 1.x y 2.x permite a atacantes remotos provocar una denegación de servicio (caída del demonio) a través de una petición HTTP parcial, tal como se ha demostrado por Slowloris, relacionado con la falta del módulo mod_reqtimeout en versiones anteriores a 2.2.15.
Vulnerabilidad en Comment Mail (CVE-2008-6384)
Gravedad:
MediaMedia
Publication date: 02/03/2009
Last modified:
16/08/2017
Descripción:
Múltiples vulnerabilidades de tipo cross-site request forgery (CSRF) en Comment Mail versiones 5.x anterior a 5.x-1.1, un módulo para Drupal, permite a los atacantes remotos secuestrar la autenticación de los administradores.
Vulnerabilidad en TYPO3 (CVE-2008-2717)
Gravedad:
MediaMedia
Publication date: 16/06/2008
Last modified:
11/10/2018
Descripción:
TYPO3 versiones 4.0.x anteriores a 4.0.9, versiones 4.1.x anteriores a 4.1.7, y versiones 4.2.x anteriores a 4.2.1, utiliza un fileDenyPattern predeterminado insuficientemente restrictivo para Apache, que permite a los atacantes remotos omitir las restricciones de seguridad y cargar archivos de configuración como .htaccess, o conducir ataques de carga de archivos mediante varias extensiones.