Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en un documento SVG en mensajes HTML en Roundcube Webmail (CVE-2020-16145)
Gravedad:
MediaMedia
Publication date: 12/08/2020
Last modified:
24/09/2020
Descripción:
Roundcube Webmail versiones anteriores a 1.3.15 y 1.4.8, permite un ataque de tipo XSS almacenado en mensajes HTML durante la visualización de mensajes por medio de un documento SVG diseñado. Este problema se ha solucionado en la versión 1.4.8 y versión 1.3.15.
Vulnerabilidad en Wowza Streaming Engine (CVE-2019-19453)
Gravedad:
MediaMedia
Publication date: 03/08/2020
Last modified:
30/09/2020
Descripción:
Wowza Streaming Engine en versiones anteriores a la 4.8.5 permite un ataque de tipo XSS (problema 1 de 2). Un usuario autenticado, con acceso a la edición de la licencia de proxy, puede insertar una carga útil maliciosa que se activará en la página principal de la configuración del servidor. Este problema se resolvió en Wowza Streaming Engine versión 4.8.5.
Vulnerabilidad en los permisos de Wowza Streaming Engine (CVE-2019-19455)
Gravedad:
AltaAlta
Publication date: 03/08/2020
Last modified:
30/09/2020
Descripción:
Wowza Streaming Engine en versiones anteriores a la 4.8.5 tiene permisos inseguros que pueden permitir a un atacante local escalar privilegios in / usr / local / WowzaStreamingEngine / manager / bin / en la versión Linux del servidor escribiendo comandos arbitrarios en cualquier archivo y ejecutarlos como root. Este problema fue resuelto en Wowza Streaming Engine 4.8.5.
Vulnerabilidad en paquetes de diagnóstico en la interfaz DCE-RPC en la pila de Profinet-IO (PNIO) en diversos productos de Siemens (CVE-2019-13946)
Gravedad:
AltaAlta
Publication date: 11/02/2020
Last modified:
28/09/2020
Descripción:
Se ha identificado una vulnerabilidad en los Development/Evaluation Kits para PROFINET IO: DK Standard Ethernet Controller (Todas las versiones), Development/Evaluation Kits para PROFINET IO: EK-ERTEC 200 (Todas las versiones anteriores a la versión V4.5), Development/Evaluation Kits para PROFINET IO: EK-ERTEC 200P (Todas las versiones anteriores a la versión V4.6), PROFINET Driver for Controller (Todas las versiones anteriores a la versión V2.1), RUGGEDCOM RM1224 (Todas las versiones anteriores a la versión V4.3), SCALANCE M-800 / S615 (Todas las versiones anteriores a la versión V4 .3), SCALANCE W700 IEEE 802.11n (SCALANCE M-800/S615 todas las versiones anteriores o iguales a la versión V6.0.1), familia de switches SCALANCE X-200 (incluidas las variantes SIPLUS NET) (Todas las versiones), familia de switches SCALANCE X-200IRT (incluidas las variantes SIPLUS NET) (Todas las versiones anteriores a la versión V5.3), familia de switches SCALANCE X- (incluidas las variantes X408 y SIPLUS NET) (Todas las versiones), SCALANCE XB-200, XC-200, XP-200, XF-200BA y XR-300WG (Todas las versiones anteriores a la versión V3.0), familia de switches SCALANCE XM-400 (Todas las versiones anteriores a la versión V6.0), familia de switches SCALANCE XR-500 (Todas las versiones anteriores a la versión V6.0), SIMATIC ET200AL IM 157-1 PN (Todas las versiones), SIMATIC ET200M IM153-4 PN IO HF (incluidas las variantes SIPLUS) (Todas las versiones), SIMATIC ET200M IM153-4 PN IO ST (incluidas las variantes SIPLUS) (Todas las versiones), SIMATIC ET200MP IM155-5 PN HF (incluidas las variantes SIPLUS) (Todas las versiones anteriores a la versión V4.2.0), SIMATIC ET200MP IM155-5 PN ST (incluidas las variantes SIPLUS) (Todas las versiones anteriores a la versión V4.1.0), SIMATIC ET200S (incluidas las variantes SIPLUS) (Todas las versiones), SIMATIC ET200SP IM155-6 PN Basic (incluidas las variantes SIPLUS) (Todas las versiones), SIMATIC ET200SP IM155-6 PN HF (incluidas las variantes SIPLUS) (Todas las versiones anteriores a la versión V3.3.1), SIMATIC ET200SP IM155-6 PN ST (incluidas las variantes SIPLUS) (Todas las versiones anteriores a la versión V4.1.0), SIMATIC ET200ecoPN (excepto 6ES7141-6BG00-0BB0, 6ES7141-6BH00-0BB0, 6ES7142-6BG00-0BB0, 6ES7142-6BR00-0BB0, 6ES7143-6BH00-0BB0, 6ES7146-6FF00-0AB0 and 6ES7148-6JD00-0AB0) (Todas las versiones) SIMATIC ET200pro, IM 154-3 PN HF (Todas las versiones), SIMATIC ET200pro, IM 154-4 PN HF (Todas las versiones), SIMATIC IPC Support, Package for VxWorks (Todas las versiones), Familia SIMATIC MV400 (Todas las versiones), SIMATIC NET CP 1616 and CP 1604 (Todas las versiones anteriores a la versión V2.8), SIMATIC NET CP 343-1 (incluidas las variantes SIPLUS) (Todas las versiones), SIMATIC NET CP 343-1 Advanced (incluidas las variantes SIPLUS) (Todas las versiones), SIMATIC NET CP 343-1 ERPC (Todas las versiones), SIMATIC NET CP 343-1 LEAN (incluidas las variantes SIPLUS) (Todas las versiones SIMATIC NET CP 443-1 (incluidas las variantes SIPLUS) (Todas las versiones), SIMATIC NET CP 443-1 Advanced (incluidas las variantes SIPLUS) (Todas las versiones), SIMATIC NET CP 443-1 OPC UA (Todas las versiones), SIMATIC PN/PN Coupler 6ES7158-3AD01-0XA0 (incl. SIPLUS NET variante) (Todas las versiones), SIMATIC RF180C (Todas las versiones), SIMATIC RF182C (Todas las versiones), Familia SIMATIC RF600 (Todas las versiones anteriores a la versión V3), SINAMICS DCP (Todas las versiones anteriores a la versión V1.3), SOFTNET-IE PNIO (Todas las versiones). La pila de Profinet-IO (PNIO) anteriores a V06.00 no limitan adecuadamente la asignación de recursos internos cuando se envían múltiples solicitudes legítimas de paquetes de diagnóstico a la interfaz DCE-RPC. Esto podría conducir a una condición de denegación de servicio debido a la falta de memoria para dispositivos que incluyen una versión vulnerable de la pila. La vulnerabilidad de seguridad podría ser explotada por un atacante con acceso de red a un dispositivo afectado. La explotación con éxito no requiere privilegios del sistema ni interacción del usuario. Un atacante podría usar la vulnerabilidad para comprometer la disponibilidad del dispositivo.
Vulnerabilidad en Little CMS (CVE-2018-11556)
Gravedad:
MediaMedia
Publication date: 30/05/2018
Last modified:
18/08/2020
Descripción:
** EN DISPUTA ** tificc en Little CMS versión 2.9 tiene una escritura fuera de límites en la función cmsPipelineCheckAndRetreiveStages en cmslut.c en liblcms2.a mediante un archivo TIFF manipulado. NOTA: Los desarrolladores Little CMS consideran esto como una vulnerabilidad porque el problema se basa en un programa de muestra que utiliza LIBTIFF y no se aplica a la biblioteca lcms2, lcms2 no depende de LIBTIFF más que para construir programas de muestra, y el problema no puede ser reproducido en la biblioteca lcms2".