Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la firma de un determinado archivo cifrado en diversos dispositivos de HUAWEI (CVE-2020-9244)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
13/08/2020
Descripción:
Versiones de HUAWEI Mate 20 Versiones anteriores a 10.1.0.160(C00E160R3P8); versiones de HUAWEI Mate 20 Pro Versiones anteriores a 10.1.0.270(C431E7R1P5), Versiones anteriores a 10.1.0.270(C635E3R1P5), Versiones anteriores a 10.1.0.273(C636E7R2WE); versiones de Mate 20 X Versiones anteriores a 10.1.0.160(C00E160R2P8); versiones de HUAWEI P30 Versiones anteriores a 10.1.0.160(C00E160R2P11); versiones de HUAWEI P30 Pro Versiones anteriores a 10.1.0.160(C00E160R2P8); versiones de HUAWEI Mate 20 RS Versiones anteriores a 10.1 .0.160(C786E160R3P8); versiones de HonorMagic2 Versiones anteriores a 10.0.0.187(C00E61R2P11); versiones de Honor20 Versiones anteriores a 10.0.0.175(C00E58R4P11); versiones de Honor20 PRO Versiones anteriores a 10.0.0.194(C00E62R8P12); versiones de HonorMagic2 10.0.0.187(C00E61R2P11); versiones de HonorV20 Versiones anteriores a 10.0.0.188(C00E62R2P11), presentan una vulnerabilidad de autenticación inapropiada. El sistema no firma adecuadamente determinado archivo cifrado, el atacante debe conseguir la clave usada para cifrar el archivo, una explotación con éxito podría causar que cierto archivo sea falsificado
Vulnerabilidad en el encabezado HTTP X-Frame-Options en el servidor web en la consola de Teradici Managament (CVE-2020-13174)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
13/08/2020
Descripción:
El servidor web en la consola de Teradici Managament versiones 20.04 y 20.01.1, no configuró apropiadamente el encabezado HTTP X-Frame-Options, lo que podría permitir a un atacante engañar a un usuario para que haga clic en un enlace malicioso mediante un secuestro de clic
Vulnerabilidad en fields['name'] en appendSubheading en el archivo content/content.blueprintsevents.php en Symphony CMS (CVE-2020-15071)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
13/08/2020
Descripción:
El archivo content/content.blueprintsevents.php en Symphony CMS versión 3.0.0, permite un ataque de tipo XSS por medio de fields['name'] en appendSubheading
Vulnerabilidad en el mecanismo de protección Dangerous File Type Execution en Telegram Desktop (CVE-2020-17448)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
13/08/2020
Descripción:
Telegram Desktop versiones hasta 2.1.13, permite a un tipo de archivo falsificado omitir el mecanismo de protección Dangerous File Type Execution, como es demostrado al usar la ventana de chat con un nombre de archivo que carece de una extensión
Vulnerabilidad en manage/control.php en las respuestas de 302 Redirect en Turcom TRCwifiZone (CVE-2020-17466)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
13/08/2020
Descripción:
Turcom TRCwifiZone versiones hasta el 10-08-2020, permite omitir la autenticación visitando a manage/control.php e ignorando las respuestas de 302 Redirect
Vulnerabilidad en el archivo hw/net/net_tx_pkt.c en la función net_tx_pkt_add_raw_fragment en los dispositivos de red e1000e y vmxnet3 en QEMU (CVE-2020-16092)
Gravedad:
BajaBaja
Publication date: 11/08/2020
Last modified:
13/09/2020
Descripción:
En QEMU versiones hasta 5.0.0, puede ocurrir un fallo de aserción en el procesamiento de paquetes de red. Este problema afecta a los dispositivos de red e1000e y vmxnet3. Un usuario y proceso invitado malicioso podría usar este fallo para abortar el proceso QEMU en el host, resultando en una condición de denegación de servicio en la función net_tx_pkt_add_raw_fragment en el archivo hw/net/net_tx_pkt.c
Vulnerabilidad en un mensaje MyCode en la renderización HTML en el MyCode (BBCode) personalizado para el editor visual en MyBB (CVE-2020-15139)
Gravedad:
MediaMedia
Publication date: 10/08/2020
Last modified:
13/08/2020
Descripción:
En MyBB anterior a la versión 1.8.24, el MyCode (BBCode) personalizado para el editor visual no escapa la entrada correctamente cuando renderiza HTML, lo que genera una vulnerabilidad de tipo XSS basada en DOM. La debilidad puede ser explotada señalando a la víctima a una página donde el editor visual está activo (por ejemplo, como una publicación o un Mensaje Privado) y opera en un mensaje MyCode diseñado con fines maliciosos. Esto puede ocurrir en páginas donde el contenido del mensaje se rellena previamente usando un parámetro GET/POST, o en páginas de respuesta donde un mensaje malicioso previamente guardado es citado. Después de actualizar MyBB a la versión 1.8.24, asegúrese de actualizar el atributo de versión en la plantilla "codebuttons" para que los temas no predeterminados sirvan la última versión del archivo "jscripts/bbcodes_sceditor.js" parcheado

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la aplicación Temi para Android (CVE-2020-16170)
Gravedad:
AltaAlta
Publication date: 11/08/2020
Last modified:
02/09/2020
Descripción:
El uso de credenciales codificadas en el sistema operativo temi Robox anterior a 120, la aplicación temi Android hasta la versión 1.3.7931 permite a los atacantes remotos escuchar cualquier llamada en curso entre los robots temi y sus usuarios si pueden adivinar un valor de seis dígitos por medio de vectores no especificados.