Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el campo username de la página de inicio de sesión en Firco Continuity (CVE-2020-16186)
Gravedad:
Sin asignarSin asignar
Publication date: 12/08/2020
Last modified:
18/08/2020
Descripción:
Una vulnerabilidad tipo Cross-site scripting (XSS) almacenada en Firco Continuity versión 6.2.0.0, permite a atacantes remotos no autenticados inyectar código web o HTML arbitrario por medio del campo username de la página de inicio de sesión
Vulnerabilidad en la página CI/CD Jobs en GitLab (CVE-2020-13288)
Gravedad:
BajaBaja
Publication date: 12/08/2020
Last modified:
14/08/2020
Descripción:
En GitLab versiones anteriores a 13.0.12, 13.1.6 y 13.2.3, se presenta una vulnerabilidad de tipo XSS almacenada en la página CI/CD Jobs
Vulnerabilidad en la dirección remota del host en "Trigger builds remotely" en Jenkins (CVE-2020-2231)
Gravedad:
BajaBaja
Publication date: 12/08/2020
Last modified:
14/08/2020
Descripción:
Jenkins versiones 2.251 y anteriores, versiones LTS 2.235.3 y anteriores, no escapa la dirección remota del host que inicia una compilación por medio de "Trigger builds remotely", resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado explotables por usuarios con permiso de Trabajo y Configuración o conocimiento del Token de Autenticación
Vulnerabilidad en la descripción de la estrategia de nombramiento del proyecto en Jenkins (CVE-2020-2230)
Gravedad:
BajaBaja
Publication date: 12/08/2020
Last modified:
14/08/2020
Descripción:
Jenkins versiones 2.251 y anteriores, versiones LTS 2.235.3 y anteriores, no escapan la descripción de la estrategia de nombramiento del proyecto, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado explotable por usuarios con permiso General y de Administración
Vulnerabilidad en el contenido de tooltip de los iconos de ayuda en Jenkins y LTS (CVE-2020-2229)
Gravedad:
BajaBaja
Publication date: 12/08/2020
Last modified:
14/08/2020
Descripción:
Jenkins versiones 2.251 y anteriores, versiones LTS 2.235.3 y anteriores, no escapan el contenido de tooltip de los iconos de ayuda, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado
Vulnerabilidad en control de acceso en el componente SOA Configuration Trace en SAP NetWeaver y la plataforma ABAP (CVE-2020-6310)
Gravedad:
MediaMedia
Publication date: 12/08/2020
Last modified:
14/08/2020
Descripción:
Un control de acceso inapropiado en el componente SOA Configuration Trace en SAP NetWeaver (ABAP Server) y la plataforma ABAP, versiones - 702, 730, 731, 740, 750, permite a cualquier usuario autenticado enumerar todos los usuarios de SAP, conllevando a una Divulgación de Información
Vulnerabilidad en lista de usuarios en el sistema con la ayuda de valor en SAP NetWeaver (ABAP Server) y la plataforma ABAP (CVE-2020-6299)
Gravedad:
MediaMedia
Publication date: 12/08/2020
Last modified:
14/08/2020
Descripción:
SAP NetWeaver (ABAP Server) y la plataforma ABAP, versiones - 740, 750, 751, 752, 753, 754, 755, permiten a un usuario empresarial acceder a la lista de usuarios en el sistema dado usando la ayuda de valor, conllevando a una Divulgación de Información
Vulnerabilidad en el Generic Market Data (GMD) del Business Partner en SAP Banking Services (Generic Market Data) (CVE-2020-6298)
Gravedad:
MediaMedia
Publication date: 12/08/2020
Last modified:
14/08/2020
Descripción:
SAP Banking Services (Generic Market Data), versiones - 400, 450, 500, permite a un usuario no autorizado mostrar el Generic Market Data (GMD) protegido del Business Partner y cambiar los valores de cifras claves de GMD relacionadas, debido a una Falta de Comprobación de Autorización
Vulnerabilidad en un archivo almacenado en SAP NetWeaver (Knowledge Management) (CVE-2020-6284)
Gravedad:
AltaAlta
Publication date: 12/08/2020
Last modified:
14/08/2020
Descripción:
SAP NetWeaver (Knowledge Management), versiones - 7.30, 7.31, 7.40, 7.50, permite la ejecución automática del contenido del script en un archivo almacenado debido a un filtrado inadecuado con los privilegios del usuario que accede. Si el usuario que accede presenta privilegios administrativos, entonces la ejecución del contenido del script podría resultar en un compromiso total de la confidencialidad, integridad y disponibilidad del sistema, conllevando a un ataque de tipo Cross Site Scripting Almacenado
Vulnerabilidad en comprobación de límites en Android (CVE-2020-0260)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
14/08/2020
Descripción:
Se presenta una posible lectura fuera de límites debido a una comprobación de límites incorrecta. Producto: Android, Versiones: Android SoC, Android ID: A-152225183
Vulnerabilidad en las URL en el componente VirtualRouter de TIBCO Silver Fabric de TIBCO Software Inc (CVE-2019-17339)
Gravedad:
MediaMedia
Publication date: 11/08/2020
Last modified:
14/08/2020
Descripción:
El componente VirtualRouter de TIBCO Silver Fabric de TIBCO Software Inc. contiene una vulnerabilidad que teóricamente permite a un atacante inyectar scripts por medio de las URL. Teóricamente, el atacante podría diseñar socialmente a un usuario autenticado para que envíe la URL, ejecutando así el script en el sistema afectado con los privilegios del usuario. Las versiones afectadas son TIBCO Silver Fabric de TIBCO Software Inc.: versiones 6.0.0 y anteriores
Vulnerabilidad en la funcionalidad download en WKUserScript en Firefox para iOS (CVE-2020-15662)
Gravedad:
MediaMedia
Publication date: 10/08/2020
Last modified:
14/08/2020
Descripción:
Una página web fraudulenta podría anular el WKUserScript inyectado usado por la funcionalidad download; esta explotación podría resultar en que el usuario descargue un archivo no deseado. Esta vulnerabilidad afecta a Firefox para iOS versiones anteriores a 28
Vulnerabilidad en el autocompletado de inicios de sesión en WKUserScript en Firefox para iOS (CVE-2020-15661)
Gravedad:
MediaMedia
Publication date: 10/08/2020
Last modified:
14/08/2020
Descripción:
Una página web fraudulenta podría anular el WKUserScript inyectado usado por el autocompletado de inicios de sesión, esta explotación podría resultar en el filtrado de una contraseña para el dominio actual. Esta vulnerabilidad afecta a Firefox para iOS versiones anteriores a 28
Vulnerabilidad en la carga de archivos DLL en el directorio de instalación en Firefox ESR, Firefox y Thunderbird en Windows (CVE-2020-15657)
Gravedad:
MediaMedia
Publication date: 10/08/2020
Last modified:
14/08/2020
Descripción:
Firefox podría hacer cargar archivos DLL suministrados por un atacante desde el directorio de instalación. Esto requería a un atacante que ya sea capaz de colocar archivos en el directorio de instalación. * Nota: este problema solo afectó a los sistemas operativos Windows. Otros sistemas operativos no están afectados. *. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 78.1, Firefox versiones anteriores a 79 y Thunderbird versiones anteriores a 78.1
Vulnerabilidad en una extensión web en una petición HTTP en las comprobaciones de CORS en Firefox ESR, Firefox y Thunderbird (CVE-2020-15655)
Gravedad:
MediaMedia
Publication date: 10/08/2020
Last modified:
18/08/2020
Descripción:
Una petición HTTP redireccionada que es observada o modificada por medio de una extensión web podría omitir las comprobaciones de CORS existentes, conllevando a una potencial divulgación de información de origen cruzado. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 78.1, Firefox versiones anteriores a 79 y Thunderbird versiones anteriores a 78.1
Vulnerabilidad en las interacciones con los diálogos y advertencias del navegador en Firefox ESR, Firefox y Thunderbird (CVE-2020-15654)
Gravedad:
MediaMedia
Publication date: 10/08/2020
Last modified:
18/08/2020
Descripción:
Cuando en un bucle infinito, un sitio web que especifica un cursor personalizado usando CSS podría hacer que parezca que el usuario está interactuando con la interfaz de usuario, cuando no es así. Esto podría conllevar a un estado roto percibido, especialmente cuando las interacciones con los diálogos y advertencias del navegador existentes no funcionan. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 78.1, Firefox versiones anteriores a 79 y Thunderbird versiones anteriores a 78.1
Vulnerabilidad en la pila de errores de JavaScript en los trabajadores web en Firefox, Firefox ESR y Thunderbird (CVE-2020-15652)
Gravedad:
MediaMedia
Publication date: 10/08/2020
Last modified:
18/08/2020
Descripción:
Al observar el seguimiento de la pila de errores de JavaScript en los trabajadores web, fue posible filtrar el resultado de un redireccionamiento de origen cruzado. Esto se aplica solo al contenido que puede ser analizado como script. Esta vulnerabilidad afecta a Firefox versiones anteriores a 79, Firefox ESR versiones anteriores a 68.11, Firefox ESR versiones anteriores a 78.1, Thunderbird versiones anteriores a 68.11 y Thunderbird versiones anteriores a 78.1
Vulnerabilidad en un elemento de sandbox de iframe con el flag allow-popups en los sitios web en Firefox ESR, Firefox y Thunderbird (CVE-2020-15653)
Gravedad:
MediaMedia
Publication date: 10/08/2020
Last modified:
18/08/2020
Descripción:
Un elemento del sandbox de iframe con el flag allow-popups podría ser omitida cuando se usan enlaces noopener. Esto podría haber conllevado a problemas de seguridad para los sitios web que dependen de configuraciones de sandbox que permitían ventanas emergentes y alojaban contenido arbitrario. Esta vulnerabilidad afecta a Firefox ESR versiones anteriores a 78.1, Firefox versiones anteriores a 79 y Thunderbird versiones anteriores a 78.1
Vulnerabilidad en la autenticación en CS2 Network P2P (CVE-2020-9525)
Gravedad:
MediaMedia
Publication date: 10/08/2020
Last modified:
14/08/2020
Descripción:
CS2 Network P2P versiones hasta de 3.x, tal como es usado en millones de dispositivos de Internet de las Cosas, sufre de un fallo de autenticación que permite a atacantes remotos llevar a cabo un ataque de tipo man in the middle, como es demostrado por las escuchas de las transmisiones de video y audio de los usuarios, capturando credenciales y comprometiendo dispositivos
Vulnerabilidad en los datos de la sesión del usuario hacia supernodos en la red en CS2 Network P2P (CVE-2020-9526)
Gravedad:
MediaMedia
Publication date: 10/08/2020
Last modified:
14/08/2020
Descripción:
CS2 Network P2P versiones hasta de 3.x, tal como se usa en millones de dispositivos de Internet de las Cosas, sufre de un fallo de exposición de información que expone los datos de la sesión del usuario hacia supernodos en la red, como es demostrado por las escuchas pasivas de las transmisiones de video y audio del usuario, capturando credenciales, y comprometiendo dispositivos

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en un documento SVG en mensajes HTML en Roundcube Webmail (CVE-2020-16145)
Gravedad:
MediaMedia
Publication date: 12/08/2020
Last modified:
24/09/2020
Descripción:
Roundcube Webmail versiones anteriores a 1.3.15 y 1.4.8, permite un ataque de tipo XSS almacenado en mensajes HTML durante la visualización de mensajes por medio de un documento SVG diseñado. Este problema se ha solucionado en la versión 1.4.8 y versión 1.3.15.
Vulnerabilidad en almacenamiento de las contraseñas en la estación de trabajo de PACTware (CVE-2020-9403)
Gravedad:
BajaBaja
Publication date: 11/08/2020
Last modified:
19/08/2020
Descripción:
En PACTware versiones anteriores a 4.1 SP6 y versiones 5.x anteriores a 5.0.5.31, las contraseñas son almacenadas en un formato recuperable y pueden ser recuperadas por cualquier usuario con acceso a la estación de trabajo de PACTware