Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo NuPlayerStreamListener.cpp en la función NuPlayerStreamListener en Android (CVE-2020-0241)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En la función NuPlayerStreamListener del archivo NuPlayerStreamListener.cpp, se presenta una posible corrupción de memoria debido a una doble liberación. Esto podría conllevar a una escalada local de privilegios sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0 Android-8.1 Android-9 Android-10, ID de Android: A-151456667
Vulnerabilidad en el archivo dm-android-verity.c en la función android_verity_ctr en Android (CVE-2020-0259)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En la función android_verity_ctr del archivo dm-android-verity.c, existe una manera posible de modificar un sistema de archivos protegido por dm-verity debido a un uso incorrecto de crypto. Esto podría conllevar a una escalada de privilegios local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Kernel de Android, ID de Android: A-157941353. Referencias: N/A
Vulnerabilidad en el archivo AppZygote.java en la función stopZygoteLocked en Android (CVE-2020-0258)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
14/08/2020
Descripción:
En la función stopZygoteLocked del archivo AppZygote.java, existe una limpieza insuficiente. Esto podría conllevar a una divulgación de información local en la aplicación que es iniciada a continuación sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-157598956
Vulnerabilidad en el archivo com_android_internal_os_Zygote.cpp en la función SpecializeCommon en Android (CVE-2020-0257)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En la función SpecializeCommon del archivo com_android_internal_os_Zygote.cpp, se presenta una omisión de permisos debido a una limpieza incompleta. Esto podría conllevar a una escalada de privilegios local en procesos aislados sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-156741968
Vulnerabilidad en el archivo gpt.cc en la función LoadPartitionTable en Android (CVE-2020-0256)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En la función LoadPartitionTable del archivo gpt.cc, se presenta una posible escritura fuera de límites debido a una falta comprobación de límites. Esto podría conllevar a una escalada de privilegios local al insertar un dispositivo USB malicioso, sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.1 Android-9 Android-10 Android-8.0, ID de Android: A-152874864
Vulnerabilidad en una comprobación de límites en Android (CVE-2020-0254)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
Se presenta una posible lectura fuera de límites debido a una comprobación de límites incorrecta. Producto: Android, Versiones: Android SoC, Android ID: A-152647751
Vulnerabilidad en uso de la memoria previamente liberada en Android (CVE-2020-0253)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
Se presenta una posible corrupción de memoria debido a un uso de la memoria previamente liberada. Producto: Android, Versiones: Android SoC, Android ID: A-152647365
Vulnerabilidad en uso de la memoria previamente liberada en Android (CVE-2020-0252)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
Se presenta una posible corrupción de memoria debido a un uso de la memoria previamente liberada. Producto: Android, Versiones: Android SoC, Android ID: A-152236803
Vulnerabilidad en uso de la memoria previamente liberada en Android (CVE-2020-0251)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
Se presenta una posible lectura fuera de los límites debido a una comprobación de límites incorrecta. Producto: Android, Versiones: Android SoC, Android ID: A-152647626
Vulnerabilidad en el archivo PhoneInterfaceManager.java en la función requestCellInfoUpdateInternal en Android (CVE-2020-0250)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En la función requestCellInfoUpdateInternal del archivo PhoneInterfaceManager.java, se presenta una falta una comprobación de permisos. Esto podría conllevar a una divulgación de información local de los datos de ubicación sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-154934934
Vulnerabilidad en el archivo InstantAppNotifier.java en la función postInstantAppNotif en Android (CVE-2020-0249)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En la función postInstantAppNotif del archivo InstantAppNotifier.java, se presenta una posible omisión de permisos debido a un error PendingIntent. Esto podría conllevar a una divulgación de información local con los privilegios de ejecución User necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10 Android-8.0 Android-8.1 Android-9, ID de Android: A-154719656
Vulnerabilidad en el archivo InstantAppNotifier.java en la función postInstantAppNotif en Android (CVE-2020-0248)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En la función postInstantAppNotif del archivo InstantAppNotifier.java, se presenta una posible omisión de permisos debido a un error PendingIntent. Esto podría conllevar a una divulgación de información local con los privilegios de ejecución User necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-154627439
Vulnerabilidad en el archivo ImageProcessHelper.java en la función Threshold::getHistogram en Android (CVE-2020-0247)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En la función Threshold::getHistogram del archivo ImageProcessHelper.java, se presenta un posible bucle de bloqueo debido a una excepción no detectada. Esto podría conllevar a una denegación de servicio local con privilegios de ejecución User necesarios. Es requerida una interacción del usuario para su explotación Producto: Android Versiones: Android-10 Android-8.0 Android-8.1 ID de Android: A-156087409
Vulnerabilidad en el archivo MediaAnalyticsItem.cpp en la función clearPropValue en Android (CVE-2020-0243)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En la función clearPropValue del archivo MediaAnalyticsItem.cpp, se presenta un posible uso de la memoria previamente liberada debido a un bloqueo inapropiado. Esto podría conllevar a una escalada local de privilegios en el servidor multimedia sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-9 Android-10 Android-8.0 Android-8.1, ID de Android: A-151644303
Vulnerabilidad en el archivo NuPlayerDriver.cpp en la función reset en Android (CVE-2020-0242)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En la función reset del archivo NuPlayerDriver.cpp, se presenta un posible uso de la memoria previamente liberada debido a un bloqueo inapropiado. Esto podría conllevar a una escalada local de privilegios en el servidor multimedia sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.0 Android-8.1 Android-9 Android-10, ID de Android: A-151643722
Vulnerabilidad en el archivo factory.cc en la función NewFixedDoubleArray en Android (CVE-2020-0240)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En la función NewFixedDoubleArray del archivo factory.cc, se presenta una posible escritura fuera de límites debido a un desbordamiento de enteros. Esto podría conllevar a una ejecución de código remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10, ID de Android: A-15070659
Vulnerabilidad en el archivo DocumentsContract.java en la función getDocumentMetadata en Android (CVE-2020-0239)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En la función getDocumentMetadata del archivo DocumentsContract.java, se presenta una posible divulgación de los metadatos de ubicación de un archivo debido a una omisión de permisos. Esto podría conllevar a una divulgación de información local de un archivo (por ejemplo, una foto) que contiene metadatos de ubicación sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-9 Android-10, ID de Android: A-151095863
Vulnerabilidad en la función updatePreferenceIntents de AccountTypePreferenceLoader en Android (CVE-2020-0238)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En la función updatePreferenceIntents de AccountTypePreferenceLoader, se presenta un posible ataque de tipo confused deputy debido a una condición de carrera. Esto podría conllevar a una escalada local de privilegios y al inicio de actividades privilegiadas sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-8.1 Android-9 Android-10 Android-8.0, ID de Android: A-150946634
Vulnerabilidad en el archivo ServiceRecord.java en la función postNotification en Android (CVE-2020-0108)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En la función postNotification del archivo ServiceRecord.java, se presenta una posible omisión de las restricciones del proceso en primer plano debido a una excepción no detectada. Esto podría conllevar a una escalada local de privilegios sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-10 Android-8.1 Android-9, ID de Android: A-140108616
Vulnerabilidad en el acceso para agregar el proveedor de Ansible Tower en Red Hat CloudForms (CVE-2020-14296)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
Red Hat CloudForms versiones 4.7 y 5, era vulnerable a un fallo de tipo Server-Side Request Forgery (SSRF). Con el acceso para agregar el proveedor de Ansible Tower, un atacante podría escanear y atacar sistemas desde la red interna que normalmente no son accesibles
Vulnerabilidad en una petición de la API en un grupo seleccionado de EvmGroup-super_administrator en Red Hat CloudForms (CVE-2020-14325)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
Red Hat CloudForms versiones anteriores a 5.11.7.0, era vulnerable a un fallo de autorización de Suplantación de Usuario que permite a un atacante malicioso crear un usuario de control de acceso basado en roles existente y no existente, con grupos y roles. Con un grupo seleccionado de EvmGroup-super_administrator, un atacante puede llevar a cabo cualquier petición de la API como superadministrador
Vulnerabilidad en el grupo EVM-Operador en Red Hat CloudForms (CVE-2020-10783)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
Red Hat CloudForms versiones 4.7 y 5, está afectado por un fallo de escalada de privilegios basada en roles. Un atacante con grupo EVM-Operador puede llevar a cabo acciones restringidas solo para el grupo EVM-Super-administrador, conlleva a, exportar o importar archivos de administrador
Vulnerabilidad en la comprobación de privilegios en CloudForms en Red Hat CloudForms (CVE-2020-10779)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
Red Hat CloudForms versiones 4.7 y 5, conlleva a una referencia directa a objeto no segura (IDOR) y a una omisión de control de acceso de nivel funcional debido a una falta de comprobación de privilegios. Por lo tanto, si un atacante conoce los criterios correctos, es posible acceder a algunos datos confidenciales dentro de CloudForms
Vulnerabilidad en los widgets de solo lectura en Red Hat CloudForms (CVE-2020-10778)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
En Red Hat CloudForms versiones 4.7 y 5, los widgets de solo lectura pueden ser editados inspeccionando los formularios y eliminando el atributo deshabilitado desde los campos, ya que no existe comprobación del lado del servidor. Este fallo de lógica de negocios viola el comportamiento esperado
Vulnerabilidad en la funcionalidad Report Menu en Red Hat CloudForms (CVE-2020-10777)
Gravedad:
BajaBaja
Publication date: 11/08/2020
Last modified:
12/08/2020
Descripción:
Se encontró un fallo de tipo cross-site scripting en la funcionalidad Report Menu de Red Hat CloudForms versiones 4.7 y 5. Un atacante podría usar este fallo para ejecutar un ataque de tipo XSS almacenado en un administrador de aplicaciones que usa CloudForms
Vulnerabilidad en el servicio Wincollect en IBM QRadar (CVE-2020-4485)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
11/08/2020
Descripción:
IBM QRadar versiones 7.2.0 hasta 7.2.9, podría permitir a un usuario autenticado deshabilitar el servicio Wincollect, lo que podría ayudar a un atacante a omitir los mecanismos de seguridad en futuros ataques. IBM X-Force ID: 181860
Vulnerabilidad en la instalación de WinCollect en IBM QRadar (CVE-2020-4486)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
11/08/2020
Descripción:
IBM QRadar versiones 7.2.0 hasta 7.2.9, podría permitir a un usuario autenticado sobrescribir o eliminar archivos arbitrarios debido a un fallo después de la instalación de WinCollect. IBM X-Force ID: 181861

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la opción --output o --output-stderr en Firejail (CVE-2020-17368)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
26/08/2020
Descripción:
Firejail versiones hasta 0.9.62, maneja inapropiadamente los metacaracteres de shell durante el uso de la opción --output o --output-stderr, lo que puede conllevar a una inyección de comandos
Vulnerabilidad en el indicador -- end-of-options después de la opción --output en Firejail (CVE-2020-17367)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
26/08/2020
Descripción:
Firejail versiones hasta 0.9.62, no respeta el indicador -- end-of-options después de la opción --output, lo que puede conllevar a una inyección de comandos