Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la función set en el paquete confucious (CVE-2020-7714)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
02/09/2020
Descripción:
Todas las versiones del paquete confucious, son vulnerables a una Contaminación de Prototipo por medio de la función set
Vulnerabilidad en la función set en el paquete gedi (CVE-2020-7727)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
02/09/2020
Descripción:
Todas las versiones del paquete gedi, son vulnerables a una Contaminación de Prototipo por medio de la función set
Vulnerabilidad en la función setter en el paquete safe-object2 (CVE-2020-7726)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
02/09/2020
Descripción:
Todas las versiones del paquete safe-object2, son vulnerables a una Contaminación de Prototipo por medio de la función setter
Vulnerabilidad en la función setValue en el paquete worksmith (CVE-2020-7725)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
02/09/2020
Descripción:
Todas las versiones del paquete worksmith, son vulnerables a una Contaminación de Prototipo por medio de la función setValue
Vulnerabilidad en la función set en el paquete tiny-conf (CVE-2020-7724)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
02/09/2020
Descripción:
Todas las versiones del paquete tiny-conf, son vulnerables a una Contaminación de Prototipo por medio de la función set
Vulnerabilidad en la función deepSet en el paquete nodee-utils (CVE-2020-7722)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
02/09/2020
Descripción:
Todas las versiones del paquete nodee-utils, son vulnerables a una Contaminación de Prototipo por medio de la función deepSet
Vulnerabilidad en la función setPath en el paquete node-oojs (CVE-2020-7721)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
02/09/2020
Descripción:
Todas las versiones del paquete node-oojs, son vulnerables a una Contaminación de Prototipo por medio de la función setPath
Vulnerabilidad en las funciones deepSet y deepMerge en el paquete gammautils (CVE-2020-7718)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
02/09/2020
Descripción:
Todas las versiones del paquete gammautils, son vulnerables a una Contaminación de Prototipo por medio de las funciones deepSet y deepMerge
Vulnerabilidad en la función create en el paquete dot-notes (CVE-2020-7717)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
02/09/2020
Descripción:
Todas las versiones del paquete dot-notes, son vulnerables a una Contaminación de Prototipo por medio de la función create
Vulnerabilidad en la función set en el paquete deeps (CVE-2020-7716)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
02/09/2020
Descripción:
Todas las versiones del paquete deeps, son vulnerables a una Contaminación de Prototipo por medio de la función set
Vulnerabilidad en la función main en el paquete deep-get-set (CVE-2020-7715)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
02/09/2020
Descripción:
Todas las versiones del paquete deep-get-set, son vulnerables a una Contaminación de Prototipo por medio de la función main
Vulnerabilidad en el constructor en el paquete arr-flatten-unflatten (CVE-2020-7713)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
02/09/2020
Descripción:
Todas las versiones del paquete arr-flatten-unflatten, son vulnerables a una Contaminación de Prototipo por medio del constructor
Vulnerabilidad en HAL en la carga de arranque del chipset S.LSI NFC en los dispositivos móviles de Samsung (Galaxy S20) (CVE-2020-25056)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
02/09/2020
Descripción:
Se detectó un problema en los dispositivos móviles de Samsung con versión de software Q(10.0) (Galaxy S20). Debido a que HAL comprueba inapropiadamente las versiones, la carga de arranque del chipset S.LSI NFC se maneja inapropiadamente. El ID de Samsung es SVE-2020-16169 (Agosto de 2020)
Vulnerabilidad en el servicio persona en KnoxContainer en los dispositivos móviles Samsung (CVE-2020-25055)
Gravedad:
AltaAlta
Publication date: 31/08/2020
Last modified:
02/09/2020
Descripción:
Se detectó un problema en los dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0). El servicio persona permite a atacantes (que controlan un proceso SecureFolder no privilegiado) omitir las restricciones de administración en KnoxContainer. El ID de Samsung es SVE-2020-18133 (Agosto de 2020)
Vulnerabilidad en RKP en los dispositivos móviles Samsung (chipsets exynos9830) (CVE-2020-25053)
Gravedad:
AltaAlta
Publication date: 31/08/2020
Last modified:
02/09/2020
Descripción:
Se detectó un problema en los dispositivos móviles Samsung con versión de software Q(10.0) (chipsets exynos9830). RKP permite la ejecución de código arbitrario. El ID de Samsung es SVE-2020-17435 (Agosto de 2020)
Vulnerabilidad en H-Arx en los dispositivos móviles Samsung (chipsets exynos9830) (CVE-2020-25052)
Gravedad:
AltaAlta
Publication date: 31/08/2020
Last modified:
02/09/2020
Descripción:
Se detectó un problema en los dispositivos móviles Samsung con versión de software Q(10.0) (chipsets exynos9830). H-Arx permite a atacantes ejecutar código arbitrario o causar una denegación de servicio (corrupción de la memoria) porque los índices se manejan inapropiadamente. El ID de Samsung es SVE-2020-17426 (Agosto de 2020)
Vulnerabilidad en AppInfo en la Factory Reset Protection (FRP) en los dispositivos móviles Samsung (CVE-2020-25051)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
02/09/2020
Descripción:
Se detectó un problema en los dispositivos móviles Samsung con versiones de software P(9.0) y Q(10.0). Los atacantes pueden omitir la Factory Reset Protection (FRP) por medio de AppInfo. El ID de Samsung es SVE-2020-17758 (Agosto de 2020)
Vulnerabilidad en el servicio CMC en los dispositivos móviles Samsung (CVE-2020-25050)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
02/09/2020
Descripción:
Se detectó un problema en los dispositivos móviles Samsung con versiones de software P(9.0) y Q(10.0). El servicio CMC permite a atacantes obtener información confidencial. El ID de Samsung es SVE-2020-17288 (Agosto de 2020)
Vulnerabilidad en StatusBarService en control de acceso DEX en los dispositivos móviles Samsung (CVE-2020-25049)
Gravedad:
AltaAlta
Publication date: 31/08/2020
Last modified:
02/09/2020
Descripción:
Se detectó un problema en los dispositivos móviles Samsung con versiones de software P(9.0) y Q(10.0). StatusBarService presenta un control de acceso DEX insuficiente. El ID de Samsung es SVE-2020-17797 (Agosto de 2020)
Vulnerabilidad en la funcionalidad Quick Share en el estado Lockscreen en los dispositivos móviles Samsung (con ONEUI) (CVE-2020-25048)
Gravedad:
BajaBaja
Publication date: 31/08/2020
Last modified:
02/09/2020
Descripción:
Se detectó un problema en los dispositivos móviles Samsung con versiones de software Q(10.0) (con ONEUI versión 2.1). En el estado Lockscreen, la funcionalidad Quick Share permite descargas no autenticadas, también se conoce como inyección de archivos. El ID de Samsung es SVE-2020-17760 (Agosto de 2020)
Vulnerabilidad en la aplicación S Secure en los dispositivos móviles Samsung (lanzado en China e India) (CVE-2020-25047)
Gravedad:
BajaBaja
Publication date: 31/08/2020
Last modified:
02/09/2020
Descripción:
Se detectó un problema en los dispositivos móviles Samsung con versiones de software P(9.0) y Q(10.0) (lanzado en China e India). La aplicación S Secure no hace cumplir el requisito de contraseña previsto para una aplicación bloqueada. Los ID de Samsung son SVE-2020-16746, SVE-2020-16764 (Agosto de 2020)
Vulnerabilidad en el registro del kernel en el controlador USB en los dispositivos móviles Samsung (CVE-2020-25046)
Gravedad:
BajaBaja
Publication date: 31/08/2020
Last modified:
02/09/2020
Descripción:
Se detectó un problema en los dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0). El controlador USB filtra información de direcciones por medio del registro del kernel. Los ID de Samsung son SVE-2020-17602, SVE-2020-17603, SVE-2020-17604 (Agosto de 2020)

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una petición HTTP en la página CoursePeriodModal.php en el parámetro meet_date de OS4Ed openSIS (CVE-2020-6128)
Gravedad:
MediaMedia
Publication date: 01/09/2020
Last modified:
02/09/2020
Descripción:
Se presenta una vulnerabilidad de inyección SQL en la página CoursePeriodModal.php de OS4Ed openSIS versión 7.3. Una petición HTTP especialmente diseñada puede conllevar a una inyección SQL. El parámetro meet_date en la página CoursePeriodModal.php es vulnerable a una inyección SQL. Un atacante puede hacer una petición HTTP autenticada para desencadenar esta vulnerabilidad
Vulnerabilidad en la función insert en el paquete promisehelpers (CVE-2020-7723)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
03/09/2020
Descripción:
Todas las versiones del paquete promisehelpers, son vulnerables a una Contaminación de Prototipo por medio de la función insert
Vulnerabilidad en la función util.setPath en el paquete node-forge (CVE-2020-7720)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
El paquete node-forge en versiones anteriores a la 0.10.0 es vulnerable a la contaminación por prototipos a través de la función util.setPath. Nota: La versión 0.10.0 es un cambio radical que elimina las funciones vulnerables
Vulnerabilidad en la función php.strings.parse_str en el paquete locutus (CVE-2020-7719)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
03/09/2020
Descripción:
Las versiones del paquete locutus anteriores a la 2.0.12 son vulnerables a una Contaminación de Prototipo por medio de la función php.strings.parse_str
Vulnerabilidad en un URI en la interfaz web de administración en Pulse Connect Secure (CVE-2020-8218)
Gravedad:
MediaMedia
Publication date: 30/07/2020
Last modified:
01/09/2020
Descripción:
Se presenta una vulnerabilidad de inyección de código en Pulse Connect Secure versiones anteriores a 9.1R8, que permite a un atacante diseñar un URI para llevar a cabo una ejecución de código arbitraria por medio de la interfaz web de administración
Vulnerabilidad en encabezados de respuesta HTTP en una excepción en Eclipse Jetty (CVE-2019-17638)
Gravedad:
AltaAlta
Publication date: 09/07/2020
Last modified:
14/09/2020
Descripción:
En Eclipse Jetty, versiones 9.4.27.v20200227 hasta 9.4.29.v20200521, en el caso de encabezados de respuesta demasiado grandes, Jetty lanza una excepción para producir un error HTTP 431. Cuando esto sucede, el ByteBuffer que contiene los encabezados de respuesta HTTP es devuelto al ByteBufferPool dos veces. Debido a esta doble versión, dos subprocesos (hilos) pueden adquirir el mismo ByteBuffer del grupo y, mientras que thread1 está a punto de usar ByteBuffer para escribir datos de response1, thread2 llena el ByteBuffer con otros datos. Thread1 luego procede a escribir el búfer que ahora contiene datos diferentes. Esto resulta en que el cliente1, que emitió la petición1, ve los datos de otra petición o respuesta que podría contener datos sensibles pertenecientes al cliente2 (identificaciones de sesión HTTP, credenciales de autenticación, etc.). Si no se puede actualizar la versión del muelle, la vulnerabilidad se puede reducir significativamente configurando un responseHeaderSize significativamente mayor que el requestHeaderSize (12KB responseHeaderSize y 8KB requestHeaderSize)
Vulnerabilidad en vulnerabilidad de inyección de comandos en el QTS (CVE-2017-7876)
Gravedad:
AltaAlta
Publication date: 15/06/2017
Last modified:
11/09/2020
Descripción:
Esta vulnerabilidad de inyección de comandos en el QTS permite a los atacantes ejecutar comandos arbitrarios en la aplicación comprometida. QNAP ya ha solucionado el problema en QTS 4.2.6 build 20170517, QTS 4.3.3.0174 build 20170503 y versiones posteriores