Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en algunos campos de búsqueda en Artica Proxy CE (CVE-2020-15053)
Gravedad:
MediaMedia
Publication date: 20/07/2020
Last modified:
22/07/2020
Descripción:
Se detectó un problema en Artica Proxy CE versiones anteriores al 4.28.030.418. Una vulnerabilidad de tipo XSS Reflejado se presenta por medio de estos campos de búsqueda: real time request, System Events, Proxy Events, Proxy Objects, y Firewall objects
Vulnerabilidad en los campos Netmask, Hostname, y Alias en Artica Proxy CE (CVE-2020-15052)
Gravedad:
MediaMedia
Publication date: 20/07/2020
Last modified:
22/07/2020
Descripción:
Se detectó un problema en Artica Proxy CE versiones anteriores al 4.28.030.418. Una inyección SQL se presenta por medio de los campos Netmask, Hostname, y Alias
Vulnerabilidad en los permisos en consultas SQL en OpenClinic GA (CVE-2020-14491)
Gravedad:
MediaMedia
Publication date: 20/07/2020
Last modified:
22/07/2020
Descripción:
OpenClinic GA versiones 5.09.02 y 5.89.05b, no comprueban apropiadamente los permisos antes de ejecutar consultas SQL, lo que puede permitir a un usuario poco privilegiado acceder a información privilegiada
Vulnerabilidad en la protección del bloqueo de cuenta del sistema en OpenClinic GA (CVE-2020-14484)
Gravedad:
MediaMedia
Publication date: 20/07/2020
Last modified:
22/07/2020
Descripción:
OpenClinic GA versiones 5.09.02 y 5.89.05b, pueden permitir a un atacante omitir la protección de bloqueo de cuenta del sistema, lo que puede permitir ataques de contraseña de fuerza bruta
Vulnerabilidad en una sesión HTTP en el flag Secure para la cookie de sesión en modo TLS en IBM Planning Analytics (CVE-2020-4527)
Gravedad:
MediaMedia
Publication date: 20/07/2020
Last modified:
22/07/2020
Descripción:
IBM Planning Analytics versión 2.0, podría permitir a un atacante remoto obtener información confidencial, causado por el fallo al ajustar el flag Secure para la cookie de sesión en modo TLS. Al interceptar su transmisión dentro de una sesión HTTP, un atacante podría explotar esta vulnerabilidad para capturar la cookie y obtener información confidencial. IBM X-Force ID: 182631
Vulnerabilidad en respuestas HTTP en IBM Planning Analytics (CVE-2020-4361)
Gravedad:
MediaMedia
Publication date: 20/07/2020
Last modified:
22/07/2020
Descripción:
IBM Planning Analytics versión 2.0, podría permitir a un atacante remoto obtener información confidencial al divulgar direcciones IP privadas en respuestas HTTP. IBM X-Force ID: 178766
Vulnerabilidad en determinados parámetros pasados ??desde el nivel inferior en Los teléfonos inteligentes Huawei Honor V30 (CVE-2020-9259)
Gravedad:
MediaMedia
Publication date: 17/07/2020
Last modified:
22/07/2020
Descripción:
Los teléfonos inteligentes Huawei Honor V30 con versiones anteriores a 10.1.0.212(C00E210R5P1), presentan una vulnerabilidad de autenticación inapropiada. El sistema no comprueba suficientemente determinados parámetros pasados ??desde el nivel inferior, el atacante debe engañar al usuario para que instale una aplicación maliciosa y controlar el nivel inferior, una explotación con éxito podría causar una divulgación de información
Vulnerabilidad en el manejo de determinadas operaciones de certificado en los teléfonos inteligentes HUAWEI P30 Pro (CVE-2020-9257)
Gravedad:
MediaMedia
Publication date: 17/07/2020
Last modified:
22/07/2020
Descripción:
Los teléfonos inteligentes HUAWEI P30 Pro con versiones anteriores a 10.1.0.123(C432E19R2P5patch02), versiones anteriores a 10.1.0.126(C10E11R5P1) y versiones anteriores a 10.1.0.160(C00E160R2P8), presentan una vulnerabilidad de desbordamiento del búfer. El software accede a los datos más allá del final o antes del comienzo del búfer previsto cuando maneja determinadas operaciones de certificado, el atacante debe engañar al usuario para que instale una aplicación maliciosa, una explotación con éxito puede causar una ejecución de código
Vulnerabilidad en determinados servicios en la comprobación de ciertos parámetros en los teléfonos inteligentes Huawei Honor 10 (CVE-2020-9255)
Gravedad:
MediaMedia
Publication date: 17/07/2020
Last modified:
22/07/2020
Descripción:
Los teléfonos inteligentes Huawei Honor 10 con versiones anteriores a 10.0.0.178(C00E178R1P4), presentan una vulnerabilidad de denegación de servicio. Determinados servicios en el sistema no comprueban suficientemente ciertos parámetros que son recibidos, el atacante debe engañar al usuario para que instale una aplicación maliciosa, una explotación con éxito podría causar una condición de denegación de servicio
Vulnerabilidad en la comprobación del tamaño de determinado parámetro en los teléfonos inteligentes HUAWEI P30 Pro (CVE-2020-9254)
Gravedad:
MediaMedia
Publication date: 17/07/2020
Last modified:
22/07/2020
Descripción:
Los teléfonos inteligentes HUAWEI P30 Pro con versiones anteriores a 10.1.0.123(C432E19R2P5patch02), versiones anteriores a 10.1.0.126(C10E11R5P1) y versiones anteriores a 10.1.0.160(C00E160R2P8), presentan una vulnerabilidad de error de comprobación lógica. Se produce un error lógico cuando el software comprueba el tamaño de determinado parámetro, el atacante debe engañar al usuario para que instale una aplicación maliciosa, una explotación con éxito puede causar una ejecución de código
Vulnerabilidad en el envío de un script malicioso en el módulo Apps->Software en HCL BigFix WebUI (CVE-2020-4104)
Gravedad:
BajaBaja
Publication date: 17/07/2020
Last modified:
22/07/2020
Descripción:
HCL BigFix WebUI es vulnerable a un ataque de tipo cross-site scripting (XSS) almacenado dentro del módulo Apps->Software. Un atacante puede usar XSS para enviar un script malicioso a un usuario desprevenido. Esto afecta a todas las versiones anteriores a las últimas versiones como se especifica en https://support.hcltechsw.com/csm?id=kb_article&sysparm_article=KB0080855&sys_kb_id=971d99ed1b8ed01c086dcbfc0a4bcb6a
Vulnerabilidad en el Panel de Control en HCL Marketing Platform (CVE-2019-4091)
Gravedad:
BajaBaja
Publication date: 17/07/2020
Last modified:
22/07/2020
Descripción:
HCL Marketing Platform es vulnerable a un ataque de tipo cross-site scripting durante la adición de nuevos usuarios y también al buscar usuarios en el Panel de Control, lo que potencialmente le da a un atacante la capacidad de inyectar código malicioso en el sistema
Vulnerabilidad en una aplicación en el uso de variables de entorno DYLD en Western Digital WD Discovery (CVE-2020-15816)
Gravedad:
MediaMedia
Publication date: 17/07/2020
Last modified:
22/07/2020
Descripción:
En Western Digital WD Discovery versiones anteriores a 4.0.251.0, una aplicación maliciosa que se ejecuta con permisos de usuario estándar podría ejecutar potencialmente código en el proceso de la aplicación por medio de una inyección de la biblioteca mediante el uso de variables de entorno DYLD
Vulnerabilidad en el campo Campaign Description en HCL Campaign (CVE-2019-4090)
Gravedad:
BajaBaja
Publication date: 17/07/2020
Last modified:
22/07/2020
Descripción:
HCL Campaign es vulnerable a un ataque de tipo cross-site scripting cuando un usuario proporciona scripts de tipo XSS en el campo Campaign Description
Vulnerabilidad en la carga de una imagen source={{uri: "...", headers: { host: "somehost.com", authorization: "..." }} en el paquete react-native-fast-image (CVE-2020-7696)
Gravedad:
MediaMedia
Publication date: 17/07/2020
Last modified:
22/07/2020
Descripción:
Esto afecta a todas las versiones del paquete react-native-fast-image. Cuando una imagen es cargada con source={{uri: "...", headers: { host: "somehost.com", authorization: "..." }}, todas las demás imágenes posteriores usarán los mismos encabezados, esto puede conllevar a una firma de credenciales u otros tokens de sesión que han sido filtrados a otros servidores
Vulnerabilidad en el widget URL en Zabbix (CVE-2020-15803)
Gravedad:
MediaMedia
Publication date: 17/07/2020
Last modified:
03/08/2020
Descripción:
Zabbix versiones anteriores a 3.0.32rc1, versiones 4.x anteriores a 4.0.22rc1, versiones 4.1.x hasta 4.4.x anteriores a 4.4.10rc1 y versiones 5.x anteriores a 5.0.2rc1, permite un ataque de tipo XSS almacenado en el widget URL
Vulnerabilidad en orden de búsqueda de dll en Adobe ColdFusion 2016 y ColdFusion 2018 (CVE-2020-9673)
Gravedad:
MediaMedia
Publication date: 16/07/2020
Last modified:
22/07/2020
Descripción:
Adobe ColdFusion 2016 update 15 y versiones anteriores, y ColdFusion 2018 update 9 y versiones anteriores, presentan una vulnerabilidad de secuestro de orden de búsqueda de dll. Una explotación con éxito podría conllevar a una escalada de privilegios
Vulnerabilidad en orden de búsqueda de dll en Adobe ColdFusion 2016 y ColdFusion 2018 (CVE-2020-9672)
Gravedad:
MediaMedia
Publication date: 16/07/2020
Last modified:
22/07/2020
Descripción:
Adobe ColdFusion 2016 update 15 y versiones anteriores, y ColdFusion 2018 update 9 y versiones anteriores, presentan una vulnerabilidad de secuestro de orden de búsqueda de dll. Una explotación con éxito podría conllevar a una escalada de privilegios
Vulnerabilidad en Adobe Media Encoder (CVE-2020-9649)
Gravedad:
MediaMedia
Publication date: 16/07/2020
Last modified:
22/07/2020
Descripción:
Adobe Media Encoder versiones 14.2 y anteriores, presentan una vulnerabilidad de lectura fuera de límites. Una explotación con éxito podría conllevar a una divulgación de información
Vulnerabilidad en Adobe Media Encoder (CVE-2020-9646)
Gravedad:
MediaMedia
Publication date: 16/07/2020
Last modified:
22/07/2020
Descripción:
Adobe Media Encoder versiones 14.2 y anteriores, presentan una vulnerabilidad de escritura fuera de límites. Una explotación con éxito podría conllevar a una ejecución de código arbitraria
CVE-2020-11978
Gravedad:
MediaMedia
Publication date: 16/07/2020
Last modified:
22/07/2020
Descripción:
Se encontró un problema en Apache Airflow versiones 1.10.10 y posteriores. Se detectó una vulnerabilidad de inyección de código y comando remota en uno de los DAG de ejemplo enviados con Airflow que permitiría a cualquier usuario autenticado ejecutar comandos arbitrarios como el usuario que ejecuta el programador y trabajador de airflow (dependiendo del ejecutor en uso). Si ya presentas ejemplos deshabilitados al configurar la función load_examples=False en la configuración, entonces no es vulnerable
Vulnerabilidad en un paquete de comunicación en Mitsubishi Electric MC Works64, Mitsubishi Electric MC Works32, ICONICS GenBroker64, Platform Services, Workbench, FrameWorX Server y ICONICS GenBroker32 (CVE-2020-12015)
Gravedad:
MediaMedia
Publication date: 16/07/2020
Last modified:
22/07/2020
Descripción:
Un paquete de comunicación especialmente diseñado enviado a los sistemas afectados podría causar una condición de denegación de servicio debido a una deserialización inapropiada. Este problema afecta: Mitsubishi Electric MC Works64 versión 4.02C (10.95.208.31) y anteriores, todas las versiones; Mitsubishi Electric MC Works32 versión 3.00A (9.50.255.02); ICONICS GenBroker64, Platform Services, Workbench, FrameWorX Server versión v10.96 y anteriores; ICONICS GenBroker32 versión 9.5 y anteriores
Vulnerabilidad en la contraseña en el servicio Telnet de Cisco Small Business RV110W Wireless-N VPN Firewall Routers (CVE-2020-3330)
Gravedad:
AltaAlta
Publication date: 16/07/2020
Last modified:
22/07/2020
Descripción:
Una vulnerabilidad en el servicio Telnet de Cisco Small Business RV110W Wireless-N VPN Firewall Routers, podría permitir a un atacante remoto no autenticado tomar el control total del dispositivo con una cuenta con privilegios elevados. La vulnerabilidad se presenta porque una cuenta del sistema presenta una contraseña predeterminada y estática. Un atacante podría explotar esta vulnerabilidad mediante el uso de esta cuenta predeterminada para conectarse al sistema afectado. Una explotación con éxito podría permitir a un atacante conseguir el control total de un dispositivo afectado
Vulnerabilidad en las credenciales del servidor Traversal Using Relay NAT (TURN) en el subsistema API de Cisco Meetings App (CVE-2020-3197)
Gravedad:
MediaMedia
Publication date: 16/07/2020
Last modified:
22/07/2020
Descripción:
Una vulnerabilidad en el subsistema API de Cisco Meetings App podría permitir a un atacante remoto no autenticado retener y reutilizar las credenciales del servidor Traversal Using Relay NAT (TURN) que están configuradas sobre un sistema afectado. La vulnerabilidad es debido a mecanismos de protección insuficientes para las credenciales del servidor TURN. Un atacante podría explotar esta vulnerabilidad al interceptar el tráfico legítimo generado por un sistema afectado. Un explotación podría permitir a un atacante obtener las credenciales del servidor TURN, que el atacante podría usar para colocar llamadas de audio y video y reenviar paquetes a través del servidor TURN configurado. El atacante no será capaz de tomar el control del servidor TURN a menos que sean usadas las mismas credenciales en varios sistemas
Vulnerabilidad en el envío de un enlace http:// en IBM Publishing Engine (CVE-2020-4316)
Gravedad:
MediaMedia
Publication date: 16/07/2020
Last modified:
22/07/2020
Descripción:
IBM Publishing Engine versiones 6.0.6, 6.0.6.1 y 7.0, no establece el atributo seguro en los tokens de autorización o cookies de sesión. Los atacantes son capaces de obtener los valores de las cookies mediante el envío de un enlace http:// a un usuario o mediante la plantación de este enlace en un sitio al que va el usuario. La cookie se enviará al enlace no seguro y el atacante puede obtener el valor de la cookie mediante el rastreo del tráfico. IBM X-Force ID: 177354

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: