Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un archivo .php en flatCore (CVE-2020-17452)
Gravedad:
AltaAlta
Publication date: 09/08/2020
Last modified:
10/08/2020
Descripción:
flatCore versiones anteriores a 1.5.7, permite la carga y ejecución de un archivo .php por un administrador
Vulnerabilidad en el parámetro page_linkname, page_title, page_content o page_extracontent de acp/acp.php? tn=pages&sub=edit&editpage=1 o el parámetro sys_pref prefs_pagename, prefs_pagetitle o prefs_pagesubtitle de acp/acp.php?tn=system&sub= en flatCore (CVE-2020-17451)
Gravedad:
BajaBaja
Publication date: 09/08/2020
Last modified:
10/08/2020
Descripción:
flatCore versiones anteriores a 1.5.7, permite un ataque de tipo XSS por parte de un administrador mediante el parámetro page_linkname, page_title, page_content o page_extracontent de acp/acp.php? tn=pages&sub=edit&editpage=1, o parámetro sys_pref prefs_pagename, prefs_pagetitle o prefs_pagesubtitle de acp/acp.php?tn=system&sub=
Vulnerabilidad en [align], [size], [quote], y [font en MyCod en MyBB (CVE-2020-17447)
Gravedad:
Sin asignarSin asignar
Publication date: 09/08/2020
Last modified:
17/08/2020
Descripción:
MyBB versiones anteriores a 1.8.24, permite un ataque de tipo XSS porque el editor visual maneja inapropiadamente [align], [size], [quote], y [font] en MyCode
Vulnerabilidad en ejecución de comandos en JetBrains YouTrack (CVE-2020-15817)
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
10/08/2020
Descripción:
En JetBrains YouTrack versiones anteriores a 2020.1.1331, un usuario externo podía ejecutar comandos frente a problemas arbitrarios
Vulnerabilidad en un algoritmo de coincidencia de usuario en JetBrains Upsource (CVE-2019-19704)
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
10/08/2020
Descripción:
En JetBrains Upsource versiones anteriores a 2020.1, una divulgación de información es posible debido a un algoritmo de coincidencia de usuario incorrecto
Vulnerabilidad en flujo de trabajo de las subtareas en JetBrains YouTrack (CVE-2020-15818)
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
10/08/2020
Descripción:
En JetBrains YouTrack versiones anteriores a 2020.2.8527, el flujo de trabajo de las subtareas podría revelar la existencia de un problema
Vulnerabilidad en puertos internos en JetBrains YouTrack (CVE-2020-15819)
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
10/08/2020
Descripción:
JetBrains YouTrack versiones anteriores a 2020.2.10643, era vulnerable a un ataque de tipo SSRF que permitía escanear puertos internos
Vulnerabilidad en el analizador de rebajas en JetBrains YouTrack (CVE-2020-15820)
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
10/08/2020
Descripción:
En JetBrains YouTrack versiones anteriores a 2020.2.6881, el analizador de rebajas podía divulgar la presencia de archivos ocultos
Vulnerabilidad en un borrador de artículo en JetBrains YouTrack (CVE-2020-15821)
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
10/08/2020
Descripción:
En JetBrains YouTrack versiones anteriores a 2020.2.6881, un usuario sin permiso puede crear un borrador de artículo
CVE-2020-15823
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
10/08/2020
Descripción:
JetBrains YouTrack versiones anteriores a 2020.2.8873, es vulnerable a un ataque de tipo SSRF en el componente Workflow
Vulnerabilidad en el permiso Modify Group en JetBrains TeamCity (CVE-2020-15825)
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
10/08/2020
Descripción:
En JetBrains TeamCity versiones anteriores a 2020.1, unos usuarios con el permiso Modify Group pueden elevar los privilegios de otros usuarios
Vulnerabilidad en la asignación de permisos en JetBrains TeamCity (CVE-2020-15826)
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
10/08/2020
Descripción:
En JetBrains TeamCity versiones anteriores a 2020.1, los usuarios pueden ser capaces de asignar más permisos de los que poseen
Vulnerabilidad en el archivo jetbrains-toolbox.exe en JetBrains ToolBox (CVE-2020-15827)
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
10/08/2020
Descripción:
En JetBrains ToolBox versiones 1.17 anteriores a 1.17.6856, el conjunto de comprobaciones de firmas omitió el archivo jetbrains-toolbox.exe
Vulnerabilidad en los valores de los parámetros del proyecto en JetBrains TeamCity (CVE-2020-15828)
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
10/08/2020
Descripción:
En JetBrains TeamCity versiones anteriores a 2020.1.1, los valores de los parámetros del proyecto pueden ser recuperados por parte de un usuario sin los permisos apropiados
Vulnerabilidad en parámetros de contraseña en los registros de compilación en JetBrains TeamCity (CVE-2020-15829)
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
10/08/2020
Descripción:
En JetBrains TeamCity versiones anteriores a 2019.2.3, unos parámetros de contraseña podrían ser revelados por medio de registros de compilación
Vulnerabilidad en la Interfaz de Usuario de administración en JetBrains TeamCity (CVE-2020-15830)
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
10/08/2020
Descripción:
JetBrains TeamCity versiones anteriores a 2019.2.3, es vulnerable a un ataque de tipo XSS almacenado en la Interfaz de Usuario de administración
Vulnerabilidad en la Interfaz de Usuario de administración en JetBrains TeamCity (CVE-2020-15831)
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
10/08/2020
Descripción:
JetBrains TeamCity versiones anteriores a 2019.2.3, es vulnerable a un ataque de tipo XSS reflejado en la Interfaz de Usuario de administración
Vulnerabilidad en valores de entrada largos en los dispositivos DIGITUS DA-70254 4-Port Gigabit Network Hub (CVE-2020-15065)
Gravedad:
MediaMedia
Publication date: 07/08/2020
Last modified:
09/08/2020
Descripción:
Los dispositivos DIGITUS DA-70254 4-Port Gigabit Network Hub versión 2.073.000.E0008, permiten a un atacante en la misma red denegar el servicio del dispositivo por medio de valores de entrada grandes
Vulnerabilidad en el rastreo del tráfico UDP en la contraseña administrativa en los dispositivos TP-Link USB Network Server TL-PS310U (CVE-2020-15054)
Gravedad:
BajaBaja
Publication date: 07/08/2020
Last modified:
09/08/2020
Descripción:
Los dispositivos TP-Link USB Network Server TL-PS310U versiones anteriores a 2.079.000.t0210, permiten a un atacante en la misma red elevar los privilegios porque la contraseña administrativa puede ser detectada mediante el rastreo del tráfico UDP no cifrado
Vulnerabilidad en una petición de administración web sin un parámetro de contraseña en los dispositivos TP-Link USB Network Server TL-PS310U (CVE-2020-15055)
Gravedad:
AltaAlta
Publication date: 07/08/2020
Last modified:
09/08/2020
Descripción:
Los dispositivos TP-Link USB Network Server TL-PS310U versiones anteriores a 2.079.000.t0210, permiten a un atacante en la misma red omitir la autenticación por medio de una petición de administración web que carece de un parámetro de contraseña
Vulnerabilidad en el establecimiento de un nombre de servidor en los dispositivos TP-Link USB Network Server TL-PS310U (CVE-2020-15056)
Gravedad:
BajaBaja
Publication date: 07/08/2020
Last modified:
09/08/2020
Descripción:
Los dispositivos TP-Link USB Network Server TL-PS310U versiones anteriores a 2.079.000.t0210, permiten a un atacante en la misma red conducir ataques de tipo XSS persistentes al aprovechar los privilegios administrativos para establecer un nombre de servidor diseñado
Vulnerabilidad en valores de entrada grandes en los dispositivos TP-Link USB Network Server TL-PS310U (CVE-2020-15057)
Gravedad:
MediaMedia
Publication date: 07/08/2020
Last modified:
09/08/2020
Descripción:
Los dispositivos TP-Link USB Network Server TL-PS310U versiones anteriores a 2.079.000.t0210, permiten a un atacante en la misma red denegar el servicio del dispositivo por medio de valores de entrada grandes
Vulnerabilidad en el rastreo del tráfico UDP en la contraseña administrativa en los dispositivos Lindy 42633 4-Port USB 2.0 Gigabit Network Server (CVE-2020-15058)
Gravedad:
BajaBaja
Publication date: 07/08/2020
Last modified:
09/08/2020
Descripción:
Los dispositivos Lindy 42633 4-Port USB 2.0 Gigabit Network Server 2.078.000, permiten a un atacante en la misma red elevar los privilegios porque la contraseña administrativa puede ser detectada mediante el rastreo del tráfico UDP no cifrado
Vulnerabilidad en una petición de administración web sin de un parámetro de contraseña en los dispositivos Lindy 42633 4-Port USB 2.0 Gigabit Network Server (CVE-2020-15059)
Gravedad:
AltaAlta
Publication date: 07/08/2020
Last modified:
09/08/2020
Descripción:
Los dispositivos Lindy 42633 4-Port USB 2.0 Gigabit Network Server versión 2.078.000, permiten a un atacante en la misma red omitir la autenticación por medio de una petición de administración web que carece de un parámetro de contraseña
Vulnerabilidad en el establecimiento de un nombre de servidor en los dispositivos Lindy 42633 4-Port USB 2.0 Gigabit Network Server (CVE-2020-15060)
Gravedad:
BajaBaja
Publication date: 07/08/2020
Last modified:
09/08/2020
Descripción:
Los dispositivos Lindy 42633 4-Port USB 2.0 Gigabit Network Server versión 2.078.000, permiten a un atacante en la misma red conducir ataques de tipo XSS persistentes al aprovechar privilegios administrativos para establecer un nombre de servidor diseñado
Vulnerabilidad en valores de entrada grandes en los dispositivos Lindy 42633 4-Port USB 2.0 Gigabit Network Server (CVE-2020-15061)
Gravedad:
MediaMedia
Publication date: 07/08/2020
Last modified:
09/08/2020
Descripción:
Los dispositivos Lindy 42633 4-Port USB 2.0 Gigabit Network Server versión 2.078.000, permiten a un atacante en la misma red denegar el servicio del dispositivo por medio de valores de entrada grandes
Vulnerabilidad en el rastreo del tráfico UDP en la contraseña administrativa en los dispositivos DIGITUS DA-70254 4-Port Gigabit Network Hub (CVE-2020-15062)
Gravedad:
BajaBaja
Publication date: 07/08/2020
Last modified:
09/08/2020
Descripción:
Los dispositivos DIGITUS DA-70254 4-Port Gigabit Network Hub versión 2.073.000.E0008, permiten a un atacante en la misma red elevar los privilegios porque la contraseña administrativa puede ser detectada mediante el rastreo del tráfico UDP no cifrado
Vulnerabilidad en una petición de administración web sin un parámetro de contraseña en los dispositivos DIGITUS DA-70254 4-Port Gigabit Network Hub (CVE-2020-15063)
Gravedad:
AltaAlta
Publication date: 07/08/2020
Last modified:
09/08/2020
Descripción:
Los dispositivos DIGITUS DA-70254 4-Port Gigabit Network Hub versión 2.073.000.E0008, permiten a un atacante en la misma red omitir una autenticación por medio de una petición de administración web que carece de un parámetro de contraseña
Vulnerabilidad en el establecimiento de un nombre de servidor en los dispositivos DIGITUS DA-70254 4-Port Gigabit Network Hub (CVE-2020-15064)
Gravedad:
BajaBaja
Publication date: 07/08/2020
Last modified:
09/08/2020
Descripción:
Los dispositivos DIGITUS DA-70254 4-Port Gigabit Network Hub versión 2.073.000.E0008, permiten a un atacante en la misma red conducir ataques de tipo XSS persistentes al aprovechar los privilegios administrativos para establecer un nombre de servidor diseñado
Vulnerabilidad en el ActiveX Control hslogin2.dll en Groupware en Groupware (CVE-2020-7810)
Gravedad:
MediaMedia
Publication date: 07/08/2020
Last modified:
10/08/2020
Descripción:
El ActiveX Control hslogin2.dll en Groupware, contiene una vulnerabilidad que podría permitir que archivos remotos sean descargados y ejecutados al configurar los argumentos en el método activex. Esto es debido a una falta de comprobación de la integridad de los archivos de políticas a los que se hace referencia en el proceso de actualización, y un atacante remoto podría inducir a un usuario a diseñar una página web, causando daños como una infección de código malicioso
Vulnerabilidad en trace/debug habilitado para el módulo HTTP/2 en Apache HTTP Server (CVE-2020-11993)
Gravedad:
MediaMedia
Publication date: 07/08/2020
Last modified:
31/08/2020
Descripción:
Apache HTTP Server versiones 2.4.20 hasta 2.4.43, cuando trace/debug fue habilitado para el módulo HTTP/2 y en determinados patrones de tráfico de borde, se hicieron declaraciones de registro en la conexión errónea, causando un uso concurrente de grupos de memoria. Configurando el LogLevel de mod_http2 sobre "info" mitigará esta vulnerabilidad para los servidores sin parches
Vulnerabilidad en el uso de un proxy mediante mod_remoteip y mod_rewrite en Apache HTTP Server (CVE-2020-11985)
Gravedad:
MediaMedia
Publication date: 07/08/2020
Last modified:
03/09/2020
Descripción:
Una falsificación de direcciones IP cuando se está usando un proxy por medio de mod_remoteip y mod_rewrite para las configuraciones que usan el proxy con mod_remoteip y determinadas reglas de mod_rewrite, un atacante podría falsificar su dirección IP para el registro y los scripts PHP. Note que este problema se corrigió en Apache HTTP Server versión 2.4.24, pero se le asignó retrospectivamente un CVE de poca gravedad en 2020
Vulnerabilidad en la función mod_proxy_uwsgi en Apache HTTP server (CVE-2020-11984)
Gravedad:
AltaAlta
Publication date: 07/08/2020
Last modified:
03/09/2020
Descripción:
Apache HTTP server versiones 2.4.32 hasta 2.4.44, la función mod_proxy_uwsgi divulga información y posible RCE
Vulnerabilidad en la página de administración de claves DKIM en el dispositivo SMG en Micro Focus Secure Messaging Gateway (SMG) (CVE-2020-11852)
Gravedad:
AltaAlta
Publication date: 07/08/2020
Last modified:
10/08/2020
Descripción:
Vulnerabilidad de la página de administración de claves DKIM en Micro Focus Secure Messaging Gateway (SMG). Afectando a todas las versiones en ejecución del dispositivo SMG versiones anteriores a julio de 2020. La vulnerabilidad podría permitir a un usuario que haya iniciado sesión con derechos para generar información de la clave DKIM inyectar comandos del sistema en la llamada al comando del sistema DKIM

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en scripts kotlin-main-kts almacenados en caché en el directorio temporal del sistema en JetBrains Kotlin (CVE-2020-15824)
Gravedad:
MediaMedia
Publication date: 08/08/2020
Last modified:
02/09/2020
Descripción:
En JetBrains Kotlin desde la versión 1.4-M1 a la 1.4-RC (ya que Kotlin versión 1.3.7x no se ve afectado por el problema. La versión corregida es la 1.4.0) se presenta una vulnerabilidad de escalada de privilegios de la caché de scripts debido a scripts kotlin-main-kts almacenados en caché en el directorio temporal del sistema, que es compartido por todos los usuarios por defecto.
Vulnerabilidad en la HTTP en el valor nonce en GoAhead (CVE-2020-15688)
Gravedad:
MediaMedia
Publication date: 23/07/2020
Last modified:
07/08/2020
Descripción:
La autenticación de HTTP Digest en el servidor web de GoAhead versiones anteriores a 5.1.2 no protege completamente contra los ataques de repetición. Esto permite a un atacante remoto no autenticado eludir la autenticación a través de la captura-reproducción si no se utiliza el TLS para proteger el canal de comunicación subyacente