Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la funcionalidad create new user account en IBM InfoSphere Guardium (CVE-2012-3338)
Gravedad:
MediaMedia
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
IBM InfoSphere Guardium versiones 8.0, 8.01 y 8.2, podrían permitir a un atacante remoto omitir las restricciones de seguridad, causada por restricciones inapropiadas en la funcionalidad create new user account. Un atacante podría explotar esta vulnerabilidad para crear cuentas de usuario sin privilegios. IBM X-Force ID: 78286
Vulnerabilidad en el envío de una petición URL en "dot dot" secuencias (/../) en IBM InfoSphere Guardium (CVE-2012-3337)
Gravedad:
MediaMedia
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
IBM InfoSphere Guardium versiones 8.0, 8.01 y 8.2, podrían permitir a un atacante remoto saltar directorios en el sistema. Un atacante podría enviar una petición URL especialmente diseñada que contenga secuencias (/../) de "dot dot" para descargar archivos arbitrarios en el sistema. IBM X-Force ID: 78284
Vulnerabilidad en el envío de sentencias SQL hacia múltiples scripts en la base de datos del back-end en IBM InfoSphere Guardium (CVE-2012-3336)
Gravedad:
MediaMedia
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
IBM InfoSphere Guardium versiones 8.0, 8.01 y 8.2, es vulnerable a una inyección SQL. Un atacante autenticado remoto podría enviar sentencias SQL especialmente diseñadas hacia múltiples scripts, lo que podría permitir al atacante visualizar, agregar, modificar o eliminar información en la base de datos del back-end. IBM X-Force ID: 78282
Vulnerabilidad en Jenkins database Plugin (CVE-2020-2240)
Gravedad:
MediaMedia
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins database Plugin versiones 1.6 y anteriores, permite a atacantes ejecutar scripts SQL arbitrarios
Vulnerabilidad en contraseñas del proyecto dentro de su configuración en Jenkins SoapUI Pro Functional Testing Plugin (CVE-2020-2251)
Gravedad:
MediaMedia
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
Jenkins SoapUI Pro Functional Testing Plugin versiones 1.5 y anteriores, transmite contraseñas del proyecto dentro de su configuración en texto plano como parte de los formularios de configuración del trabajo, resultando potencialmente en su exposición
Vulnerabilidad en el almacenamiento de contraseñas de proyectos en archivos config.xml de trabajo en el controlador de Jenkins en Jenkins SoapUI Pro Functional Testing Plugin (CVE-2020-2250)
Gravedad:
MediaMedia
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
Jenkins SoapUI Pro Functional Testing Plugin versiones 1.3 y anteriores, almacenan contraseñas de proyectos sin cifrar en archivos config.xml de trabajo en el controlador de Jenkins, donde pueden ser visualizadas por los atacantes con permiso de Lectura Extendido o acceder al sistema de archivos del controlador de Jenkins
Vulnerabilidad en un secreto de webhook en un archivo de configuración global en el controlador de Jenkins en Jenkins Team Foundation Server Plugin (CVE-2020-2249)
Gravedad:
BajaBaja
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
Jenkins Team Foundation Server Plugin versiones 5.157.1 y anteriores, almacena un secreto de webhook sin cifrar en su archivo de configuración global en el controlador de Jenkins, donde los atacantes con acceso al sistema de archivos del controlador de Jenkins pueden verlo
Vulnerabilidad en la evaluación de una URL en Jenkins JSGames Plugin (CVE-2020-2248)
Gravedad:
MediaMedia
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
Jenkins JSGames Plugin versiones 0.2 y anteriores, evalúan parte de una URL como código, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) reflejado
Vulnerabilidad en la configuración del analizador XML en Jenkins Klocwork Analysis Plugin (CVE-2020-2247)
Gravedad:
MediaMedia
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
Jenkins Klocwork Analysis Plugin versiones 2020.2.1 y anteriores, no configura su analizador XML para impedir ataques de tipo XML external entity (XXE)
Vulnerabilidad en los informes Valgrind XML en Jenkins Valgrind Plugin (CVE-2020-2246)
Gravedad:
BajaBaja
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
Jenkins Valgrind Plugin versiones 0.28 y anteriores, no escapan al contenido de los informes Valgrind XML, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado explotable de controlar el contenido de los informes Valgrind XML
Vulnerabilidad en la configuración del analizador XML en Jenkins Valgrind Plugin (CVE-2020-2245)
Gravedad:
MediaMedia
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
Jenkins Valgrind Plugin versiones 0.28 y anteriores, no configuran su analizador XML para impedir ataques de tipo XML external entity (XXE)
Vulnerabilidad en una respuesta de comprobación de formulario en Jenkins Build Failure Analyzer Plugin (CVE-2020-2244)
Gravedad:
BajaBaja
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
Jenkins Build Failure Analyzer Plugin versiones 1.27.0 y anteriores, no escapan el texto coincidente en una respuesta de comprobación de formulario, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) explotable por parte de atacantes capaces de proporcionar una salida de la consola para compilaciones usadas al probar indicaciones de registro de compilación
Vulnerabilidad en las descripciones de compilación en tooltips en Jenkins Cadence vManager Plugin (CVE-2020-2243)
Gravedad:
BajaBaja
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
Jenkins Cadence vManager Plugin versiones 3.0.4 y anteriores, no escapan las descripciones de compilación en tooltips, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado por unos atacantes con permiso de Run/Update puedan explotar
Vulnerabilidad en un servidor de base de datos en Jenkins database Plugin (CVE-2020-2241)
Gravedad:
MediaMedia
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins database Plugin versiones 1.6 y anteriores, permite a atacantes conectarse a un servidor de base de datos especificado por el atacante usando credenciales especificadas por el atacante
Vulnerabilidad en la página "Build with Parameters" en Jenkins Git Parameter Plugin (CVE-2020-2238)
Gravedad:
BajaBaja
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
Jenkins Git Parameter Plugin versiones 0.9.12 y anteriores, no escapan el campo repository en la página "Build with Parameters", resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado que los atacantes pueden explotar con permiso de Job/Configure
Vulnerabilidad en el enrutador Zyxel VMG5313-B30B (CVE-2020-24354)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
El enrutador Zyxel VMG5313-B30B en la versión de firmware 5.13(ABCJ.6)b3_1127, y posiblemente las versiones anteriores del firmware están afectadas por una inyección de shell
Vulnerabilidad en un paquete en el mecanismo de plataforma AutoIP en las soluciones de SICK AG (CVE-2020-2075)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
El mecanismo de plataforma AutoIP permite a atacantes remotos reiniciar el dispositivo por medio de un paquete diseñado en las soluciones de SICK AG Bulkscan LMS111, Bulkscan LMS511, CLV62x - CLV65x, ICR890-3, LMS10x, LMS11x, LMS15x, LMS12x, LMS13x, LMS14x, LMS5xx, LMS53x, RFH
Vulnerabilidad en un script de instalación en el componente y servicios en SoMove (CVE-2020-7527)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
Se presenta una vulnerabilidad de Permiso Predeterminado Incorrecto en SoMove (versiones V2.8.1) y anteriores, que podría causar una elevación de privilegios y proporcionar un control de acceso total a usuarios del sistema local para el componente y servicios de SoMove cuando es iniciado un script de instalación de SoMove
Vulnerabilidad en la ejecución de un script durante un evento de apagado en PowerChute Business Edition (CVE-2020-7526)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
Se presenta una vulnerabilidad de Comprobación de Entrada Inapropiada en PowerChute Business Edition (versiones de software V9.0.x y anteriores) que podría causar una ejecución de código remota cuando es ejecutado un script durante un evento de apagado
Vulnerabilidad en una contraseña en todas las versiones de hardware de spaceLYnk y Wiser para KNX (CVE-2020-7525)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
Se presenta una vulnerabilidad de Restricción Inapropiada de Intentos de Autenticación Excesivos en todas las versiones de hardware de spaceLYnk y Wiser para KNX (anteriormente homeLYnk) que podría permitir a un atacante adivinar una contraseña cuando es usado un ataque de fuerza bruta
Vulnerabilidad en el plugin Chamber Dashboard Business Directory versión 3.2.8, para, WordPress (CVE-2020-24699)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
El plugin Chamber Dashboard Business Directory versión 3.2.8 para WordPress, presenta una vulnerabilidad de tipo XSS
Vulnerabilidad en el Uso de Credenciales Embebidas en Projectworlds Online Book Store (CVE-2020-24115)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
En Projectworlds Online Book Store versión 1.0, el Uso de Credenciales Embebidas en el código fuente conlleva a un acceso del panel de administración
Vulnerabilidad en el campo Name Your Template en el plugin Elementor para WordPress (CVE-2020-15020)
Gravedad:
BajaBaja
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
Se detectó un problema en el plugin Elementor versiones hasta 2.9.13 para WordPress. Un atacante autenticado puede lograr un ataque de tipo XSS almacenado por medio del campo Name Your Template
Vulnerabilidad en subscribe_sidebar.php&status= en el plugin Blubrry subscribe-sidebar para WordPress (CVE-2020-25033)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
El plugin Blubrry subscribe-sidebar versión 1.3.1 (también se conoce como Subscribe Sidebar) para WordPress, permite un XSS reflejado de subscribe_sidebar.php&status=
Vulnerabilidad en la creación de un archivo ejecutable en modo 0777 en checkinstall (CVE-2020-25031)
Gravedad:
AltaAlta
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
checkinstall versión 1.6.2, cuando ser usado para crear un paquete que contiene un enlace simbólico, que puede activar la creación de un archivo ejecutable en modo 0777
Vulnerabilidad en recursos privados en Flask-CORS (CVE-2020-25032)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
18/09/2020
Descripción:
Se detectó un problema en Flask-CORS (también se conoce como CORS Middleware para Flask) versiones anteriores a 3.0.9. Permite que un salto de directorios ../ acceda a recursos privados porque la coincidencia de recursos no garantiza que los nombres de ruta estén en un formato canónico

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la función util.setPath en el paquete node-forge (CVE-2020-7720)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
El paquete node-forge en versiones anteriores a la 0.10.0 es vulnerable a la contaminación por prototipos a través de la función util.setPath. Nota: La versión 0.10.0 es un cambio radical que elimina las funciones vulnerables
Vulnerabilidad en paquetes USB de un invitado en las rutinas do_token_in, do_token_out en el emulador USB de QEMU (CVE-2020-14364)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
15/09/2020
Descripción:
Se encontró un fallo de acceso de lectura/escritura fuera de límites en el emulador USB de QEMU en versiones anteriores a la 5.2.0. Este problema ocurre mientras se procesan paquetes USB de un invitado cuando USBDevice "setup_len" excede su "data_buf [4096]" en las rutinas do_token_in, do_token_out. Este fallo permite a un usuario invitado bloquear el proceso de QEMU, lo que resulta en una denegación de servicio o la posible ejecución de código arbitraria con los privilegios del proceso de QEMU en el host