Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la gema Chartkick para Ruby (CVE-2020-16254)
Gravedad:
MediaMedia
Publication date: 05/08/2020
Last modified:
06/08/2020
Descripción:
La gema Chartkick versiones hasta 3.3.2 para Ruby, permite una Inyección de Cascading Style Sheets (CSS) (sin atributo)
Vulnerabilidad en el archivo application/controllers/LSBaseController.php en LimeSurvey (CVE-2020-16192)
Gravedad:
MediaMedia
Publication date: 05/08/2020
Last modified:
06/08/2020
Descripción:
LimeSurvey versión 4.3.2, permite un ataque de tipo XSS reflejado porque el archivo application/controllers/LSBaseController.php carece de código para comprobar los parámetros
Vulnerabilidad en un parámetro en una petición GET en Extreme EAC Appliance (CVE-2020-13819)
Gravedad:
MediaMedia
Publication date: 05/08/2020
Last modified:
06/08/2020
Descripción:
Extreme EAC Appliance versión 8.4.1.24, permite un ataque de tipo XSS reflejado no autenticado por medio de un parámetro en una petición GET
Vulnerabilidad en los programas setuid en el cliente X Input Method (XIM) implementado en libX11 (CVE-2020-14344)
Gravedad:
MediaMedia
Publication date: 05/08/2020
Last modified:
15/09/2020
Descripción:
Se encontró un desbordamiento de enteros conllevando a un desbordamiento del búfer de la pila en el cliente X Input Method (XIM), se implementó en libX11 anterior a la versión 1.6.10. Según aguas arriba, esto es relevante para la seguridad cuando los programas setuid llaman a las funciones del cliente XIM mientras se ejecutan con privilegios elevados. Dichos programas no son incluidos con Red Hat Enterprise Linux
Vulnerabilidad en la memoria de xserver en ASLR en Xorg-server (CVE-2020-14347)
Gravedad:
BajaBaja
Publication date: 05/08/2020
Last modified:
15/09/2020
Descripción:
Se encontró un fallo en la manera en que la memoria de xserver no fue inicializada apropiadamente. Esto podría filtrar partes de la memoria del servidor hacia cliente X. En los casos en que el servidor Xorg se ejecuta con privilegios elevados, esto podría resultar en una posible omisión de ASLR. Xorg-server anterior a la versión 1.20.9 es vulnerable
Vulnerabilidad en la invalidación de los tokens de sesión en Virtual Appliance de IBM Security Identity Governance and Intelligence (CVE-2020-4243)
Gravedad:
MediaMedia
Publication date: 05/08/2020
Last modified:
06/08/2020
Descripción:
Virtual Appliance de IBM Security Identity Governance and Intelligence versión 5.2.6, podría permitir a un atacante remoto obtener información confidencial usando técnicas de tipo man in the middle debido a que no invalidan apropiadamente los tokens de sesión. IBM X-Force ID: 175420
Vulnerabilidad en la gema Field Test para Ruby (CVE-2020-16252)
Gravedad:
MediaMedia
Publication date: 05/08/2020
Last modified:
05/08/2020
Descripción:
La gema Field Test versiones 0.2.0 hasta 0.3.2 para Ruby, permite un ataque de tipo CSRF
Vulnerabilidad en la gema PgHero para Ruby (CVE-2020-16253)
Gravedad:
MediaMedia
Publication date: 05/08/2020
Last modified:
05/08/2020
Descripción:
La gema PgHero versiones hasta 2.6.0 para Ruby, permite un ataque de tipo CSRF

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una carga útil "__proto__" en la función "classToPlainFromExist" en las propiedades de "Object.prototype" en class-transformer (CVE-2020-7637)
Gravedad:
MediaMedia
Publication date: 06/04/2020
Last modified:
05/08/2020
Descripción:
class-transformer versiones anteriores a 0.3.1, permiten a los atacantes realizar la Contaminación Prototipo. La función "classToPlainFromExist" podría ser engañada para agregar o modificar propiedades de Object.prototype" usando una carga útil "__proto__"