Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Analytics Web General) (CVE-2020-14626)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Analytics Web General). Las versiones compatibles que están afectadas son 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso de red por medio de HTTP comprometer a Oracle Business Intelligence Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle Business Intelligence Enterprise Edition. CVSS 3.1 Puntuación Base 8.1 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto Hyperion Financial Close Management de Oracle Hyperion (componente: Close Manager) (CVE-2020-14541)
Gravedad:
BajaBaja
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Hyperion Financial Close Management de Oracle Hyperion (componente: Close Manager). La versión compatible que está afectada es 11.1.2.4. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso de red por medio de HTTP comprometer a Hyperion Financial Close Management. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Hyperion Financial Close Management. CVSS 3.1 Puntuación Base 2.0 (Impactos de la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:N)
Vulnerabilidad en el producto Oracle Solaris de Oracle Systems (componente: libsuri) (CVE-2020-14542)
Gravedad:
BajaBaja
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Oracle Solaris de Oracle Systems (componente: libsuri). La versión compatible que está afectada es 11. La vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con inicio de sesión en la infraestructura donde Oracle Solaris se ejecuta comprometer a Oracle Solaris. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Solaris. CVSS 3.1 Puntuación Base 3.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto Oracle Hospitality Reporting and Analytics de Oracle Food and Beverage Applications (componente: Installation) (CVE-2020-14543)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Oracle Hospitality Reporting and Analytics de Oracle Food and Beverage Applications (componente: Installation). La versión compatible que está afectada es 9.1.0. La vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle Hospitality Reporting and Analytics comprometer a Oracle Hospitality Reporting and Analytics. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle Hospitality Reporting and Analytics. CVSS 3.1 Puntuación Base 7.3 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto Oracle Transportation Management de Oracle Supply Chain (componente: Data, Domain & Function Security) (CVE-2020-14544)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Oracle Transportation Management de Oracle Supply Chain (componente: Data, Domain & Function Security). La versión compatible que está afectada es 6.4.3. La vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de HTTP comprometer a Oracle Transportation Management. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Transportation Management. CVSS 3.1 Puntuación Base 4.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Analytics Web General) (CVE-2020-14548)
Gravedad:
BajaBaja
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Analytics Web General). Las versiones compatibles que están afectadas son 12.2.1.3.0 y 12.2.1.4.0. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso de red por medio de HTTP comprometer Oracle Business Intelligence Enterprise Edition. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se encuentra en Oracle Business Intelligence Enterprise Edition, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Business Intelligence Enterprise Edition. CVSS 3.1 Puntuación Base 3.4 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N)
Vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web Server) (CVE-2020-14549)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Primavera Portfolio Management de Oracle Construction and Engineering (componente: Web Server). Las versiones compatibles que están afectadas son 16.1.0.0-16.1.5.1, 18.0.0.0-18.0.2.0 y 19.0.0.0. La vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso de red por medio de HTTPS comprometer a Primavera Portfolio Management. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Primavera Portfolio Management, así como en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Primavera Portfolio Management. CVSS 3.1 Puntuación Base 5.9 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:L/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication) (CVE-2020-14567)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Replication). Las versiones compatibles que están afectadas son 5.7.29 y anteriores y 8.0.19 y anteriores. La vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2020-14568)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
11/09/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 8.0.20 y anteriores. La vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle FLEXCUBE Investor Servicing de Oracle Financial Services Applications (componente: Infrastructure) (CVE-2020-14569)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Oracle FLEXCUBE Investor Servicing de Oracle Financial Services Applications (componente: Infrastructure). Las versiones compatibles que están afectadas son 12.1.0, 12.3.0, 12.4.0, 14.0.0 y 14.1.0. La vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de HTTP comprometer a Oracle FLEXCUBE Investor Servicing. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle FLEXCUBE Investor Servicing, así como en el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle FLEXCUBE Investor Servicing. CVSS 3.1 Puntuación Base 8.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle BI Publisher de Oracle Fusion Middleware (componente: Mobile Service) (CVE-2020-14570)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Oracle BI Publisher de Oracle Fusion Middleware (componente: Mobile Service). Las versiones compatibles que están afectadas son 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0. La vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso de red por medio de HTTP comprometer a Oracle BI Publisher. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle BI Publisher, así como también en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle BI Publisher. CVSS 3.1 Puntuación Base 7.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N)
Vulnerabilidad en el producto Oracle BI Publisher de Oracle Fusion Middleware (componente: Mobile Service) (CVE-2020-14571)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Oracle BI Publisher de Oracle Fusion Middleware (componente: Mobile Service). Las versiones compatibles que están afectadas son 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0. La vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso de red por medio de HTTP comprometer a Oracle BI Publisher. Aunque la vulnerabilidad se encuentra en Oracle BI Publisher, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle BI Publisher, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle BI Publisher. CVSS 3.1 Puntuación Base 7.2 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N)
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) (CVE-2020-14572)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console). Las versiones compatibles que están afectadas son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 y 12.2.1.4.0. La vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso de red por medio de HTTP comprometer a Oracle WebLogic Server. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se encuentra en Oracle WebLogic Server, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle WebLogic Server, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle WebLogic Server. CVSS 3.1 Puntuación Base 6.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
Vulnerabilidad en el producto Oracle Communications Interactive Session Recorder de Oracle Communications Applications (componente: FACE) (CVE-2020-14574)
Gravedad:
BajaBaja
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Oracle Communications Interactive Session Recorder de Oracle Communications Applications (componente: FACE). Las versiones compatibles que están afectadas son 6.1-6.4. La vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle Communications Interactive Session Recorder comprometer a Oracle Communications Interactive Session Recorder. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Communications Interactive Session Recorder, así como en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Communications Interactive Session Recorder. CVSS 3.1 Puntuación Base 4.7 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:L/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML) (CVE-2020-14575)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
11/09/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DML). Las versiones compatibles que están afectadas son 8.0.20 y anteriores. La vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: UDF) (CVE-2020-14576)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
11/09/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: UDF). Las versiones compatibles que están afectadas son 5.7.30 y anteriores y 8.0.20 y anteriores. La vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Communications Session Border Controller de Oracle Communications Applications (componente: System Admin) (CVE-2020-14580)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Oracle Communications Session Border Controller de Oracle Communications Applications (componente: System Admin). Las versiones compatibles que están afectadas son 8.1.0, 8.2.0 y 8.3.0. La vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de SSH comprometer a Oracle Communications Session Border Controller. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se encuentra en Oracle Communications Session Border Controller, los ataques pueden afectar significativamente productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle Communications Session Border Controller, así como en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Communications Session Border Controller y en una capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Communications Session Border Controller. CVSS 3.1 Puntuación Base 8.2 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:L/A:L)
Vulnerabilidad en el producto Oracle iStore de Oracle E-Business Suite (componente: User Registration) (CVE-2020-14582)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Oracle iStore de Oracle E-Business Suite (componente: User Registration). Las versiones compatibles que están afectadas son 12.1.1-12.1.3 y 12.2.3-12.2.9. La vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso de red por medio de HTTP comprometer a Oracle iStore. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se encuentra en Oracle iStore, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle iStore, así como también en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle iStore. CVSS 3.1 Puntuación Base 8.2 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N)
Vulnerabilidad en el producto Oracle BI Publisher de Oracle Fusion Middleware (componente: BI Publisher Security) (CVE-2020-14584)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Oracle BI Publisher de Oracle Fusion Middleware (componente: BI Publisher Security). Las versiones compatibles que están afectadas son 12.2.1.3.0 y 12.2.1.4.0. La vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso de red por medio de HTTP comprometer a Oracle BI Publisher. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se encuentra en Oracle BI Publisher, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle BI Publisher, así como también en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle BI Publisher. CVSS 3.1 Puntuación Base 8.2 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N)
Vulnerabilidad en el producto Oracle BI Publisher de Oracle Fusion Middleware (componente: Mobile Service) (CVE-2020-14585)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto Oracle BI Publisher de Oracle Fusion Middleware (componente: Mobile Service). Las versiones compatibles que están afectadas son 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0. La vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso de red por medio de HTTP comprometer a Oracle BI Publisher. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se encuentra en Oracle BI Publisher, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle BI Publisher, así como también en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle BI Publisher. CVSS 3.1 Puntuación Base 8.2 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Privileges) (CVE-2020-14586)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
11/09/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Privileges). Las versiones compatibles que están afectadas son 8.0.20 y anteriores. La vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso de red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar un suspensión o bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto PeopleSoft Enterprise FIN Expenses de Oracle PeopleSoft (componente: Expenses) (CVE-2020-14587)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto PeopleSoft Enterprise FIN Expenses de Oracle PeopleSoft (componente: Expenses). La versión compatible que está afectada es la 9.2. La vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso de red por medio de HTTP comprometer a PeopleSoft Enterprise FIN Expenses. Los ataques con éxito de esta vulnerabilidad pueden resultar en la actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de PeopleSoft Enterprise FIN Expenses, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise FIN Expenses. CVSS 3.1 Puntuación Base 5.4 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N)
Vulnerabilidad en el producto de Oracle Financial Services Analytical Applications Infrastructure product de Oracle Financial Services Applications (componente: Infrastructure) (CVE-2020-14603)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto de Oracle Financial Services Analytical Applications Infrastructure de Oracle Financial Services Applications (componente: Infrastructure). Las versiones compatibles que están afectadas son 8.0.6-8.1.0. La vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso de red por medio de HTTP comprometer a Oracle Financial Services Analytical Applications Infrastructure. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Financial Services Analytical Applications Infrastructure. CVSS 3.1 Puntuación Base 5.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto de Oracle Financial Services Analytical Applications Infrastructure de Oracle Financial Services Applications (componente: Infrastructure) (CVE-2020-14604)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
17/07/2020
Descripción:
Vulnerabilidad en el producto de Oracle Financial Services Analytical Applications Infrastructure de Oracle Financial Services Applications (componente: Infrastructure). Las versiones compatibles que están afectadas son 8.0.6-8.1.0. La vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso de red por medio de HTTP comprometer a Oracle Financial Services Analytical Applications Infrastructure . Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Financial Services Analytical Applications Infrastructure. CVSS 3.1 Puntuación Base 5.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core) (CVE-2020-14625)
Gravedad:
AltaAlta
Publication date: 15/07/2020
Last modified:
20/07/2020
Descripción:
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Core). Las versiones compatibles que están afectadas son 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. La vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso de red por medio de IIOP, T3 comprometer a Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server. CVSS 3.1 Puntuación Base 9.8 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Vulnerabilidad en el Windows Jet Database Engine de Microsoft (CVE-2020-1400)
Gravedad:
AltaAlta
Publication date: 14/07/2020
Last modified:
23/07/2020
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota cuando el Windows Jet Database Engine maneja inapropiadamente objetos en memoria, también se conoce como "Jet Database Engine Remote Code Execution Vulnerability". Este ID de CVE es diferente de CVE-2020-1401, CVE-2020-1407
Vulnerabilidad en el archivo MpSigStub.exe para Microsoft Defender (CVE-2020-1461)
Gravedad:
BajaBaja
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el archivo MpSigStub.exe para Defender permite una eliminación de archivos en ubicaciones arbitrarias. Para explotar la vulnerabilidad, un atacante primero debe iniciar sesión en el sistema, también se conoce como "Microsoft Defender Elevation of Privilege Vulnerability"
Vulnerabilidad en el Windows Runtime de Microsoft (CVE-2020-1422)
Gravedad:
MediaMedia
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el Windows Runtime maneja inapropiadamente objetos en memoria, también se conoce como "Windows Runtime Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-1249, CVE-2020-1353, CVE-2020-1370, CVE-2020-1399, CVE-2020-1404, CVE-2020-1413, CVE-2020-1414, CVE- 2020-1415
Vulnerabilidad en el Windows Runtime de Microsoft (CVE-2020-1415)
Gravedad:
MediaMedia
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el Windows Runtime maneja inapropiadamente objetos en memoria, también se conoce como "Windows Runtime Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-1249, CVE-2020-1353, CVE-2020-1370, CVE-2020-1399, CVE-2020-1404, CVE-2020-1413, CVE-2020-1414, CVE- 2020-1422
Vulnerabilidad en el Windows Runtime de Microsoft (CVE-2020-1399)
Gravedad:
MediaMedia
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el Windows Runtime maneja inapropiadamente objetos en memoria, también se conoce como "Windows Runtime Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-1249, CVE-2020-1353, CVE-2020-1370, CVE-2020-1404, CVE-2020-1413, CVE-2020-1414, CVE-2020-1415, CVE- 2020-1422
Vulnerabilidad en el Windows Agent Activation Runtime (AarSvc) de Microsoft (CVE-2020-1391)
Gravedad:
BajaBaja
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando el Windows Agent Activation Runtime (AarSvc) presenta un fallo al manejar apropiadamente objetos en memoria, también se conoce como "Windows Agent Activation Runtime Information Disclosure Vulnerability"
Vulnerabilidad en el Windows Push Notification Service de Microsoft (CVE-2020-1387)
Gravedad:
MediaMedia
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en la manera en que el Windows Push Notification Service maneja objetos en memoria, también se conoce como "Windows Push Notification Service Elevation of Privilege Vulnerability"
Vulnerabilidad en el Windows Credential Picker de Microsoft (CVE-2020-1385)
Gravedad:
MediaMedia
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en la manera en que el Windows Credential Picker maneja objetos en memoria, también se conoce como "Windows Credential Picker Elevation of Privilege Vulnerability"
Vulnerabilidad en el servicio Credential Enrollment Manager de Microsoft (CVE-2020-1368)
Gravedad:
MediaMedia
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en la manera en que el servicio Credential Enrollment Manager maneja objetos en memoria, también se conoce como "Windows Credential Enrollment Manager Service Elevation of Privilege Vulnerability"
Vulnerabilidad en el kernel de Microsoft Windows (CVE-2020-1367)
Gravedad:
BajaBaja
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando el kernel de Windows maneja inapropiadamente objetos en memoria, también se conoce como "Windows Kernel Information Disclosure Vulnerability". Este ID de CVE es diferente de CVE-2020-1389, CVE-2020-1419, CVE-2020-1426
Vulnerabilidad en el Windows Print Workflow Service de Microsoft (CVE-2020-1366)
Gravedad:
MediaMedia
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando el Windows Print Workflow Service maneja inapropiadamente objetos en memoria, también se conoce como "Windows Print Workflow Service Elevation of Privilege Vulnerability"
Vulnerabilidad en el WalletService de Microsoft (CVE-2020-1364)
Gravedad:
BajaBaja
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se presenta una vulnerabilidad de denegación de servicio en la manera en que el WalletService maneja los archivos, también se conoce como "Windows WalletService Denial of Service Vulnerability"
Vulnerabilidad en el kernel de Microsoft Windows (CVE-2020-1336)
Gravedad:
MediaMedia
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios en la manera en que el kernel de Windows maneja objetos en memoria, también se conoce como "Windows Kernel Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-1411
Vulnerabilidad en Group Policy Services Policy Processing de Microsoft (CVE-2020-1333)
Gravedad:
BajaBaja
Publication date: 14/07/2020
Last modified:
20/07/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando Group Policy Services Policy Processing maneja inapropiadamente los puntos de análisis, también se conoce como "Group Policy Services Policy Processing Elevation of Privilege Vulnerability"
Vulnerabilidad en el envío de una petición de autenticación en Local Security Authority Subsystem Service (LSASS) de Microsoft (CVE-2020-1267)
Gravedad:
MediaMedia
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Esta actualización de seguridad corrige una denegación de servicio en el Local Security Authority Subsystem Service (LSASS) causada cuando un atacante autenticado envía una petición de autenticación especialmente diseñada, también se conoce como "Local Security Authority Subsystem Service Denial of Service Vulnerability"
Vulnerabilidad en el token de OAuth en Microsoft SharePoint Server y Skype for Business Server (CVE-2020-1025)
Gravedad:
AltaAlta
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando Microsoft SharePoint Server y Skype for Business Server manejan inapropiadamente la comprobación de del token de OAuth, también se conoce como "Microsoft Office Elevation of Privilege Vulnerability"
Vulnerabilidad en el acceso a recursos en Camstar Enterprise Platform, Opcenter Execution Core (CVE-2020-7578)
Gravedad:
MediaMedia
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se ha identificado una vulnerabilidad en Camstar Enterprise Platform (Todas las versiones), Opcenter Execution Core (Todas las versiones anteriores a V8.2). Los usuarios autenticados podrían tener acceso a recursos que normalmente no tendrían. Esta vulnerabilidad podría permitir a un atacante visualizar información interna y llevar a cabo cambios no autorizados
Vulnerabilidad en el uso de varios campos de la aplicación en una consulta SQL en Camstar Enterprise Platform, Opcenter Execution Core (CVE-2020-7577)
Gravedad:
MediaMedia
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se ha identificado una vulnerabilidad en Camstar Enterprise Platform (Todas las versiones), Opcenter Execution Core (Todas las versiones anteriores a V8.2). Mediante el uso de varios campos vulnerables de la aplicación, un usuario autenticado podría llevar a cabo un ataque de inyección SQL al pasar una consulta SQL modificada aguas abajo hacia servidor back-end. La explotación de esta vulnerabilidad podría ser usada para leer y potencialmente modificar los datos de la aplicación a los que el usuario tiene acceso
Vulnerabilidad en la familia de CPU SIMATIC S7-200 SMART de Siemens (CVE-2020-7584)
Gravedad:
MediaMedia
Publication date: 14/07/2020
Last modified:
17/07/2020
Descripción:
Se ha identificado una vulnerabilidad en la familia de CPU SIMATIC S7-200 SMART (Todas las versiones posteriores e incluyendo a V2.2 anteriores a V2.5.1). Los dispositivos afectados no manejan apropiadamente un gran número de nuevas conexiones entrantes y podrían bloquearse bajo determinadas circunstancias. Un atacante puede aprovechar esto para causar una situación de Denegación de Servicio
Vulnerabilidad en el control de acceso en el cliente de Citrix ADC Gateway Linux (CVE-2020-8199)
Gravedad:
MediaMedia
Publication date: 10/07/2020
Last modified:
17/07/2020
Descripción:
Un control de acceso inapropiado en el cliente de Citrix ADC Gateway Linux versiones anteriores a 1.0.0.137, resulta en una escalada de privilegios locales a root
Vulnerabilidad en Nextcloud Contacts (CVE-2020-8181)
Gravedad:
MediaMedia
Publication date: 10/07/2020
Last modified:
17/07/2020
Descripción:
Una falta de comprobación de tipo archivo en Nextcloud Contacts versión 3.2.0, permitió a un usuario malicioso cargar cualquier archivo como avatars
Vulnerabilidad en un sitio web en la deserialización de datos en IBM InfoSphere Information Server (CVE-2020-4305)
Gravedad:
AltaAlta
Publication date: 09/07/2020
Last modified:
17/07/2020
Descripción:
IBM InfoSphere Information Server versiones 11.3, 11.5 y 11.7, podría permitir a un atacante remoto ejecutar código arbitrario en el sistema, causado por la deserialización de datos no confiables. Al persuadir a una víctima para que visite un sitio web especialmente diseñado, un atacante podría aprovechar esta vulnerabilidad para ejecutar código arbitrario en el sistema. IBM X-Force ID: 176677
Vulnerabilidad en los tokens de autorización o las cookies de sesión en IBM Guardium Activity Insights (CVE-2020-4173)
Gravedad:
MediaMedia
Publication date: 09/07/2020
Last modified:
17/07/2020
Descripción:
IBM Guardium Activity Insights versiones 10.6 y 11.0, no establece el atributo seguro sobre los tokens de autorización o las cookies de sesión. Los atacantes pueden ser capaces de obtener los valores de las cookies mediante el envío de un enlace http:// hacia un usuario o plantando este enlace en un sitio al que va el usuario. La cookie será enviada al enlace no seguro y el atacante puede obtener el valor de la cookie al rastrear el tráfico. IBM X-Force ID: 174682
Vulnerabilidad en la funcionalidad MX Transfer en modo "Receive" en MX Player Android App (CVE-2020-5764)
Gravedad:
MediaMedia
Publication date: 08/07/2020
Last modified:
17/07/2020
Descripción:
Las versiones de MX Player Android App anteriores a v1.24.5, son susceptibles a una vulnerabilidad de salto de directorio cuando un usuario está usando la funcionalidad MX Transfer en modo "Receive". Un atacante puede explotar esto al conectarse a la sesión de MX Transfer como "sender" y enviando un MessageType de "FILE_LIST" con un campo "name" que contiene caracteres de salto de directorio (../). Esto resultará en que el archivo es transferido hacia el teléfono de la víctima, pero siendo guardado fuera del directorio previsto "/sdcard /MXshare". En algunas instancias, un atacante puede lograr una ejecución de código remota al escribir archivos ".odex" y ".vdex" en el directorio "oat" de la aplicación MX Player
Vulnerabilidad en Froala Editor (CVE-2019-19935)
Gravedad:
MediaMedia
Publication date: 07/07/2020
Last modified:
17/07/2020
Descripción:
Froala Editor versiones anteriores a 3.0.6, permite un ataque de tipo XSS
Vulnerabilidad en una DACL de objeto de dispositivo en la biblioteca VeeamFSR.sys en Veeam Availability Suite y Veeam Backup & Replication (CVE-2020-15518)
Gravedad:
MediaMedia
Publication date: 03/07/2020
Last modified:
17/07/2020
Descripción:
La biblioteca VeeamFSR.sys en Veeam Availability Suite versiones anteriores a 10 y Veeam Backup & Replication versiones anteriores a 10, no posee una DACL de objeto de dispositivo, lo que permite a usuarios no privilegiados alcanzar un control total sobre las peticiones I/O del sistema de archivos

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en las cookies de sesión en Camstar Enterprise Platform, Opcenter Execution Core (CVE-2020-7576)
Gravedad:
BajaBaja
Publication date: 14/07/2020
Last modified:
14/08/2020
Descripción:
Se ha identificado una vulnerabilidad en Camstar Enterprise Platform (Todas las versiones), Opcenter Execution Core (Todas las versiones anteriores a V8.2), Opcenter Execution Core (versión V8.2). Un usuario autenticado con la capacidad de crear contenedores, paquetes o registrar defectos podría llevar a cabo ataques de tipo Cross-Site Scripting (XSS) almacenado dentro del software vulnerable. El impacto de este ataque podría resultar en el robo de cookies de sesión de usuarios legítimos. Si atacante consigue acceso a estas cookies, podría secuestrar la sesión y llevar a cabo acciones arbitrarias en nombre de la víctima
Vulnerabilidad en la biblioteca Lib/ipaddress.py en las clases IPv4Interface e IPv6Interface en Python (CVE-2020-14422)
Gravedad:
MediaMedia
Publication date: 18/06/2020
Last modified:
21/08/2020
Descripción:
La biblioteca Lib/ipaddress.py en Python versiones hasta 3.8.3, calcula inapropiadamente los valores de hash en las clases IPv4Interface e IPv6Interface, lo que podría permitir a un atacante remoto causar una denegación de servicio si una aplicación está afectada por el desempeño de un diccionario que contiene objetos de IPv4Interface o IPv6Interface, y este atacante puede causar que muchas entradas de diccionario sean creadas
Vulnerabilidad en un Logical Address Block (LBA) en una rutina iscsi_co_block_status() en el controlador de iSCSI Block (CVE-2020-1711)
Gravedad:
MediaMedia
Publication date: 11/02/2020
Last modified:
13/09/2020
Descripción:
Se detectó una fallo de acceso al búfer de la pila fuera de límites en la manera en que el controlador de iSCSI Block versiones 2.xx de QEMU hasta 2.12.0 incluyéndola, manejó una respuesta proveniente de un servidor iSCSI mientras se comprobaba el estado de un Logical Address Block (LBA) en una rutina iscsi_co_block_status(). Un usuario remoto podría usar este fallo para bloquear el proceso de QEMU, resultando en una denegación de servicio o posible ejecución de código arbitrario con privilegios del proceso de QEMU en el host.
Vulnerabilidad en el archivo tcp_subr.c en snprintf en libslirp usado en QEMU (CVE-2020-8608)
Gravedad:
MediaMedia
Publication date: 06/02/2020
Last modified:
26/07/2020
Descripción:
En libslirp versión 4.1.0, como es usado en QEMU versión 4.2.0, el archivo tcp_subr.c utiliza inapropiadamente los valores de retorno de snprintf, lo que conlleva a un desbordamiento del búfer en el código posterior.
Vulnerabilidad en el archivo tcp_emu en tcp_subr.c en EMU_IRC en libslirp usado en QEMU (CVE-2020-7039)
Gravedad:
MediaMedia
Publication date: 16/01/2020
Last modified:
17/07/2020
Descripción:
El archivo tcp_emu en tcp_subr.c en libslirp versión 4.1.0, como es usado en QEMU versión 4.2.0, administra inapropiadamente la memoria, como es demostrado por los comandos IRC DCC en EMU_IRC. Esto puede causar un desbordamiento del búfer en la región heap de la memoria u otro acceso fuera de límites que puede conllevar a una DoS o un código arbitrario de ejecución potencial.
Vulnerabilidad en Shell#test en la biblioteca lib/shell.rb en Ruby (CVE-2019-16255)
Gravedad:
MediaMedia
Publication date: 26/11/2019
Last modified:
24/08/2020
Descripción:
Ruby versiones hasta 2.4.7, versiones 2.5.x hasta 2.5.6 y versiones 2.6.x hasta 2.6.4, permite una inyección de código si el primer argumento (también conocido como el argumento "command") para Shell#[] o Shell#test en la biblioteca lib/shell.rb es un dato no seguro. Un atacante puede explotar esto para llamar a un método de Ruby arbitrario.
Vulnerabilidad en Undertow (CVE-2018-1067)
Gravedad:
MediaMedia
Publication date: 21/05/2018
Last modified:
17/07/2020
Descripción:
En Undertow, en versiones anteriores a la 7.1.2.CR1, 7.1.2.GA, se descubrió que la solución para CVE-2016-4993 no estaba completa. Por lo tanto, el servidor web de Undertow es vulnerable a la inyección de cabeceras HTTP arbitrarias y también a la separación de respuestas, debido al saneamiento y validación insuficientes de entradas de usuario antes de que se empleen como parte de un valor de cabecera HTTP.