Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en una ruta especificada por el usuario en pritunl-client (CVE-2016-7063)
Gravedad:
AltaAlta
Publication date: 21/07/2020
Last modified:
23/07/2020
Descripción:
Se encontró un fallo en pritunl-client versiones anteriores a 1.0.1116.6. La escritura arbitraria en una ruta especificada por el usuario puede conllevar a una escalada de privilegios
Vulnerabilidad en verificación de firma en pritunl-client (CVE-2016-7064)
Gravedad:
MediaMedia
Publication date: 21/07/2020
Last modified:
23/07/2020
Descripción:
Se encontró un fallo en pritunl-client versiones anteriores a 1.0.1116.6. Una falta de verificación de firma conlleva a un filtrado de información confidencial
Vulnerabilidad en los archivos customoid.inc.php y ajax_form.php en la función device_id en el parámetro POST en LibreNMS (CVE-2020-15873)
Gravedad:
MediaMedia
Publication date: 21/07/2020
Last modified:
23/07/2020
Descripción:
En LibreNMS versiones anteriores a 1.65.1, un atacante autenticado puede lograr una inyección SQL por medio del parámetro POST del archivo customoid.inc.php device_id en el archivo ajax_form.php
Vulnerabilidad en el archivo routes/web.php en "'guard' =) 'admin'", "'middleware' =) ['can:admin']" en LibreNMS (CVE-2020-15877)
Gravedad:
MediaMedia
Publication date: 21/07/2020
Last modified:
23/07/2020
Descripción:
Se detectó un problema en LibreNMS versiones anteriores a 1.65.1. Presenta un control de acceso insuficiente para usuarios normales debido a "'guard' =) 'admin'" en lugar de "'middleware' =) ['can:admin']" en el archivo routes/web.php
Vulnerabilidad en una petición WebSocket en un manejador de errores en sails-hook-sockets en Sails.js (CVE-2018-21036)
Gravedad:
MediaMedia
Publication date: 21/07/2020
Last modified:
23/07/2020
Descripción:
Sails.js versiones anteriores a v1.0.0-46, permite a atacantes causar una denegación de servicio con una sola petición porque no presenta un manejador de errores en sails-hook-sockets para manejar un nombre de ruta vacío en una petición WebSocket
Vulnerabilidad en el paquete uppy npm (CVE-2020-8205)
Gravedad:
MediaMedia
Publication date: 20/07/2020
Last modified:
23/07/2020
Descripción:
El paquete uppy npm versiones anteriores a 1.13.2 y versiones anteriores a 2.0.0-alpha.5, es vulnerable a una vulnerabilidad de tipo Server-Side Request Forgery (SSRF), que permite a un atacante escanear redes locales o externas o interactuar con los sistemas internos
Vulnerabilidad en un HTTP POST en la API HTTPS "New" de UCM en Grandstream serie UCM6200 (CVE-2020-5757)
Gravedad:
AltaAlta
Publication date: 17/07/2020
Last modified:
23/07/2020
Descripción:
Grandstream serie UCM6200 versiones de firmware 1.0.20.23 y posterior, es vulnerable a una inyección de comandos del Sistema Operativo por medio de HTTP. Un atacante autenticado remoto puede omitir las mitigaciones de inyección de comandos y ejecutar comandos como usuario root mediante el envío de un HTTP POST diseñado hacia la API HTTPS "New" de UCM
Vulnerabilidad en un HTTP GET en la API HTTPS "Old" de UCM en Grandstream serie UCM6200 (CVE-2020-5758)
Gravedad:
AltaAlta
Publication date: 17/07/2020
Last modified:
23/07/2020
Descripción:
Grandstream serie UCM6200 versiones de firmware 1.0.20.23 y posterior, es vulnerable a una inyección de comandos del Sistema Operativo por medio de HTTP. Un atacante autenticado remoto puede ejecutar comandos como usuario root mediante el envío de un HTTP GET diseñado hacia la API HTTPS "Old" de UCM
Vulnerabilidad en un comando "unset" en SSH en Grandstream serie UCM6200 (CVE-2020-5759)
Gravedad:
AltaAlta
Publication date: 17/07/2020
Last modified:
23/07/2020
Descripción:
Grandstream serie UCM6200 versiones de firmware 1.0.20.23 y posterior, es vulnerable a una inyección de comandos del Sistema Operativo por medio de SSH. Un atacante autenticado remoto puede ejecutar comandos como usuario root al emitir un comando "unset" especialmente diseñado
Vulnerabilidad en el envío de una petición HTTP en la interfaz de administración basada en web de Cisco RV110W Wireless-N VPN Firewall, RV130 VPN Router, RV130W Wireless-N Multifunction VPN Router, y RV215W Wireless-N VPN Router (CVE-2020-3144)
Gravedad:
AltaAlta
Publication date: 16/07/2020
Last modified:
23/07/2020
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco RV110W Wireless-N VPN Firewall, RV130 VPN Router, RV130W Wireless-N Multifunction VPN Router, y RV215W Wireless-N VPN Router, podría permitir a un atacante remoto no autenticado omitir la autenticación y ejecutar comandos arbitrarios con comandos administrativos en un dispositivo afectado. La vulnerabilidad es debido a una gestión de sesión inapropiada en los dispositivos afectados. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada hacia el dispositivo afectado. Una explotación con éxito podría permitir a un atacante obtener acceso administrativo en el dispositivo afectado
Vulnerabilidad en el envío de peticiones HTTP en la interfaz de administración basada en web de Cisco RV110W Wireless-N VPN Firewall, RV130 VPN Router, RV130W Wireless-N Multifunction VPN Router y RV215W Wireless-N VPN Router (CVE-2020-3145)
Gravedad:
MediaMedia
Publication date: 16/07/2020
Last modified:
23/07/2020
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Cisco RV110W Wireless-N VPN Firewall, RV130 VPN Router, RV130W Wireless-N Multifunction VPN Router y RV215W Wireless-N VPN Router, podrían permitir a un atacante remoto autenticado ejecutar código arbitrario en un dispositivo afectado. Las vulnerabilidades son debido a una comprobación inapropiada de los datos suministrados por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades mediante el envío de peticiones HTTP maliciosas hacia un dispositivo objetivo. Una explotación con éxito podría permitir a un atacante ejecutar código arbitrario en el sistema operativo subyacente del dispositivo afectado como un usuario con privilegios elevados
Vulnerabilidad en la interfaz de administración basada en web de Cisco Small Busines RV110W, RV130, RV130W y Routers RV215W (CVE-2020-3323)
Gravedad:
AltaAlta
Publication date: 16/07/2020
Last modified:
23/07/2020
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Small Busines RV110W, RV130, RV130W y Routers RV215W podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado. La vulnerabilidad es debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP diseñadas hacia un dispositivo objetivo. Una explotación con éxito podría permitir a un atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente del dispositivo afectado
Vulnerabilidad en la interfaz de administración basada en web de Cisco RV110W Wireless-N VPN Firewall y Cisco RV215W Wireless-N VPN Router (CVE-2020-3331)
Gravedad:
AltaAlta
Publication date: 16/07/2020
Last modified:
23/07/2020
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco RV110W Wireless-N VPN Firewall y Cisco RV215W Wireless-N VPN Router, podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado. La vulnerabilidad es debido a una comprobación inapropiada de los datos de entrada suministrados por un usuario mediante la interfaz de administración basada en web. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones diseñadas hacia un dispositivo objetivo. Una explotación con éxito podría permitir a un atacante ejecutar código arbitrario con los privilegios del usuario root
Vulnerabilidad en la interfaz de administración basada en web de Cisco Small Business RV110W, RV130, RV130W, y RV215W Series Routers (CVE-2020-3332)
Gravedad:
AltaAlta
Publication date: 16/07/2020
Last modified:
23/07/2020
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Small Business RV110W, RV130, RV130W, y RV215W Series Routers, podría permitir a un atacante remoto autenticado inyectar comandos de shell arbitrarios que son ejecutados por un dispositivo afectado. La vulnerabilidad es debido a una comprobación de entrada insuficiente de los datos suministrados por el usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición diseñada a la interfaz de administración basada en web de un dispositivo afectado. Una explotación con éxito podría permitir a un atacante ejecutar comandos o scripts de shell arbitrarios con privilegios root en el dispositivo afectado
Vulnerabilidad en un enlace en la interfaz de administración basada en web de Cisco Data Center Network Manager (DCNM) (CVE-2020-3349)
Gravedad:
BajaBaja
Publication date: 16/07/2020
Last modified:
23/07/2020
Descripción:
Múltiples vulnerabilidades en la interfaz de administración basada en web de Cisco Data Center Network Manager (DCNM) podrían permitir a un atacante remoto autenticado conducir un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz en un dispositivo afectado. Estas vulnerabilidades son debido a una comprobación de entrada insuficiente suministrada por un usuario mediante la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades al persuadir a un usuario de la interfaz para que haga clic en un enlace personalizado. Una explotación con éxito podría permitir a un atacante ejecutar código script arbitrario en el contexto de la interfaz o acceder a información confidencial basada en navegador
Vulnerabilidad en el envío de una petición HTTP en el filtrado de URL de Cisco Content Security Management Appliance (SMA) (CVE-2020-3370)
Gravedad:
MediaMedia
Publication date: 16/07/2020
Last modified:
23/07/2020
Descripción:
Una vulnerabilidad en el filtrado de URL de Cisco Content Security Management Appliance (SMA) podría permitir a un atacante remoto no autenticado omitir el filtrado de URL en un dispositivo afectado. La vulnerabilidad es debido a una comprobación de entrada insuficiente. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP maliciosa y diseñada hacia un dispositivo afectado. Una explotación con éxito podría permitir a un atacante redireccionar a usuarios a sitios maliciosos

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: