Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en una petición en Shadankun Server Security Type (CVE-2020-5622)
Gravedad:
MediaMedia
Publication date: 02/09/2020
Last modified:
04/09/2020
Descripción:
Shadankun Server Security Type (excluyendo los tipos de métodos de bloqueo normales) versiones Ver.1.5.3 y anteriores, permite a atacantes remotos causar una denegación de servicio que puede resultar en no poder agregar direcciones IP de fuentes de ataque recién detectadas como objetivos de bloqueo por aproximadamente 10 minutos mediante una petición especialmente diseñada
Vulnerabilidad en la funcionalidad SameSite Strict en USVN (CVE-2020-25070)
Gravedad:
MediaMedia
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
USVN (también se conoce como SVN fácil de usar) versiones anteriores a 1.0.10, permite un ataque de tipo CSRF, relacionado con la falta de la funcionalidad SameSite Strict
Vulnerabilidad en la visualización de confirmación en USVN (CVE-2020-25069)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
USVN (también se conoce como SVN fácil de usar) versiones anteriores a 1.0.10, permite a atacantes ejecutar código arbitrario en la visualización de confirmación
Vulnerabilidad en los dispositivos N-Tron 702-W / 702M12-W (CVE-2020-16210)
Gravedad:
BajaBaja
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
El producto afectado es vulnerable a un ataque de tipo cross-site scripting reflejado, lo que puede permitir a un atacante ejecutar código arbitrario remotamente y llevar a cabo acciones en el contexto de un usuario atacado en los dispositivos N-Tron 702-W / 702M12-W (todas las versiones)
Vulnerabilidad en los dispositivos N-Tron 702-W / 702M12-W (CVE-2020-16206)
Gravedad:
BajaBaja
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
El producto afectado es vulnerable a un ataque de tipo cross-site scripting almacenados, lo que puede permitir a un atacante ejecutar código arbitrario remotamente para conseguir acceso a datos confidenciales en los dispositivos N-Tron 702-W / 702M12-W (todas las versiones)
Vulnerabilidad en una interfaz no documentada en los dispositivos N-Tron 702-W / 702M12-W (CVE-2020-16204)
Gravedad:
AltaAlta
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
El producto afectado es vulnerable debido a una interfaz no documentada que se encuentra en el dispositivo, lo que puede permitir a un atacante ejecutar comandos como root en el dispositivo en los dispositivos N-Tron 702-W / 702M12-W (todas las versiones)
Vulnerabilidad en la extracción de archivos zip en el paquete github.com/u-root/u-root/pkg/uzip (CVE-2020-7665)
Gravedad:
MediaMedia
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
Esto afecta a todas las versiones del paquete github.com/u-root/u-root/pkg/uzip. Es vulnerable tanto a los ataques de salto de ruta relativa principales como no principales en la extracción de archivos zip
Vulnerabilidad en la extracción de archivos cpio en el paquete github.com/u-root/u-root/pkg/cpio (CVE-2020-7666)
Gravedad:
MediaMedia
Publication date: 01/09/2020
Last modified:
04/09/2020
Descripción:
Esto afecta a todas las versiones del paquete github.com/u-root/u-root/pkg/cpio. Es vulnerable tanto a ataques de salto de ruta relativa principales como no principales y ataques de salto de ruta basados ??en enlaces simbólicos (relativos y absolutos) en la extracción de archivos cpio
Vulnerabilidad en el servicio Modbus Serial Driver en Schneider Electric Modbus Serial Driver (CVE-2020-7523)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
Se presenta una vulnerabilidad de Administración de Privilegios Inapropiada en Schneider Electric Modbus Serial Driver (consulte la notificación de seguridad para las versiones) que podría causar una escalada de privilegios locales cuando el servicio Modbus Serial Driver es invocado. El controlador no asigna, modifica, rastrea o comprueba apropiadamente los privilegios de un actor, creando una esfera de control no prevista para ese actor
Vulnerabilidad en el acceso a un método de "SoundUploadServlet" en SFAPV9601 - APC Easy UPS On-Line Software (CVE-2020-7522)
Gravedad:
AltaAlta
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
Se presenta una vulnerabilidad de Limitación Inapropiada de un Nombre de Ruta en un Directorio Restringido ("Path Traversal") en SFAPV9601 - APC Easy UPS On-Line Software (versiones V2.0 y anterior) cuando se accede a un método vulnerable de "SoundUploadServlet" puede conllevar a una carga de archivos ejecutables hacia directorios no especificados
Vulnerabilidad en el acceso a un método de "FileUploadServlet" en SFAPV9601 - APC Easy UPS On-Line Software (CVE-2020-7521)
Gravedad:
AltaAlta
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
Se presenta una vulnerabilidad de Limitación Inapropiada de un Nombre de Ruta en un Directorio Restringido ("Path Traversal") en SFAPV9601 - APC Easy UPS On-Line Software (versiones V2.0 y anteriores) cuando se accede a un método vulnerable de "FileUploadServlet" puede conllevar a una carga de archivos ejecutables hacia directorios no especificados
Vulnerabilidad en el archivo core/class-sliced.php en el plugin Sliced ??Invoices para WordPress (CVE-2020-20625)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
El plugin Sliced ??Invoices para WordPress versiones 3.8.2 y anteriores, permite una divulgación de información no autenticada y una inyección de SQL autenticada por medio del archivo core/class-sliced.php
Vulnerabilidad en Dashboards y progressiveProfileForms en ForgeRock Identity Manager (CVE-2020-17465)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
Dashboards y progressiveProfileForms en ForgeRock Identity Manager versiones anteriores a 7.0.0, son vulnerables a un ataque de tipo XSS almacenado. La vulnerabilidad afecta a las versiones 6.5.0.4, 6.0.0.6
Vulnerabilidad en la CPU en la interfaz de depuración en los dispositivos Gigadevice (CVE-2020-13469)
Gravedad:
BajaBaja
Publication date: 31/08/2020
Last modified:
04/09/2020
Descripción:
La protección de lectura de memoria flash en los dispositivos Gigadevice GD32VF103, permite a atacantes físicos extraer firmware por medio de la interfaz de depuración usando la CPU
Vulnerabilidad en la configuración de seguridad del producto en Bitdefender Endpoint Security Tools para Windows y Bitdefender Endpoint Security SDK (CVE-2020-8097)
Gravedad:
MediaMedia
Publication date: 30/08/2020
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad de autenticación inapropiada en Bitdefender Endpoint Security Tools para Windows y Bitdefender Endpoint Security SDK, permite a un atacante local no privilegiado escalar privilegios o alterar la configuración de seguridad del producto. Este problema afecta a: Bitdefender Endpoint Security Tools para Windows versiones anteriores a 6.6.18.261. Este problema afecta a: Bitdefender Endpoint Security Tools para Windows versiones anteriores a 6.6.18.261. Bitdefender Endpoint Security SDK versiones anteriores a 6.6.18.261
Vulnerabilidad en saneamiento de las rutas en los metadatos de un repositorio remoto en librepo (CVE-2020-14352)
Gravedad:
AltaAlta
Publication date: 30/08/2020
Last modified:
04/09/2020
Descripción:
Se encontró un fallo en librepo en versiones anteriores a 1.12.1. Se encontró una vulnerabilidad de salto de directorio en donde se produjo un fallo al sanear las rutas en los metadatos de un repositorio remoto. Un atacante que controla un repositorio remoto puede ser capaz de copiar archivos fuera del directorio de destino en el sistema objetivo por medio de un salto de ruta. Este fallo podría resultar potencialmente en un compromiso del sistema por medio de la sobrescritura de archivos críticos del sistema. La mayor amenaza de este fallo es para los usuarios que hacen uso de repositorios de terceros que no son de confianza
Vulnerabilidad en la macro "Table from CSV" en la aplicación Table Filter y Charts para Confluence Server (CVE-2020-24897)
Gravedad:
BajaBaja
Publication date: 29/08/2020
Last modified:
04/09/2020
Descripción:
La aplicación Table Filter y Charts para Confluence Server versiones anteriores a 5.3.25 (para Atlassian Confluence), permite a atacantes remotos inyectar HTML o JavaScript arbitrario por medio de un ataque de tipo cross site scripting (XSS) mediante el marcado Markdown proporcionado en la macro "Table from CSV"
Vulnerabilidad en la macro "Table from CSV" (parámetro URL) (parámetro URL) en la aplicación Table Filter and Charts para Confluence Server (CVE-2020-24898)
Gravedad:
MediaMedia
Publication date: 29/08/2020
Last modified:
04/09/2020
Descripción:
La aplicación Table Filter and Charts para Confluence Server versiones anteriores a 5.3.26 (para Atlassian Confluence), permite un SSRF por medio de la macro "Table from CSV" (parámetro URL)
Vulnerabilidad en la funcionalidad del Distance Vector Multicast Routing Protocol (DVMRP) de Cisco IOS XR Software (CVE-2020-3566)
Gravedad:
AltaAlta
Publication date: 29/08/2020
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad en la funcionalidad del Distance Vector Multicast Routing Protocol (DVMRP) de Cisco IOS XR Software, podría permitir a un atacante remoto no autenticado agotar la memoria de proceso de un dispositivo afectado. La vulnerabilidad es debido a una gestión de cola insuficiente para los paquetes Internet Group Management Protocol (IGMP). Un atacante podría explotar esta vulnerabilidad mediante el envío de tráfico IGMP diseñado hacia un dispositivo afectado. Una explotación con éxito podría permitir a un atacante agotar la memoria, resultando en una inestabilidad de otros procesos. Estos procesos pueden incluir, pero no se limitan a, protocolos de enrutamiento interior y exterior. Cisco lanzará actualizaciones de software que abordan esta vulnerabilidad
Vulnerabilidad en la crate rgb para Rust (CVE-2020-25016)
Gravedad:
MediaMedia
Publication date: 29/08/2020
Last modified:
04/09/2020
Descripción:
Se detectó una violación de seguridad en la crate rgb versiones anteriores a 0.8.20 para Rust, conllevando a (por ejemplo) una desreferenciación de punteros arbitrarios o una divulgación de memoria no inicializada. Esto ocurre porque las estructuras pueden ser tratadas como bytes para operaciones de lectura y escritura
Vulnerabilidad en sus fuentes o permisos en Chameleon Mini Live Debugger en Google Play Store (CVE-2020-15165)
Gravedad:
MediaMedia
Publication date: 28/08/2020
Last modified:
04/09/2020
Descripción:
La versión 1.1.6-free de Chameleon Mini Live Debugger en Google Play Store, puede haber tenido sus fuentes o permisos alterados por un actor malicioso. El mantenedor oficial del paquete esta recomendando a todos los usuarios que actualicen a la v1.1.8 tan pronto como sea posible. Para más información, revise el Aviso de Seguridad de GitHub al que se hace referencia
Vulnerabilidad en el acceso a un sitio web en la aplicación en NITORI App para Android y NITORI App para iOS (CVE-2020-5623)
Gravedad:
MediaMedia
Publication date: 28/08/2020
Last modified:
04/09/2020
Descripción:
NITORI App para Android versiones 6.0.4 y anteriores y NITORI App para iOS versiones 6.0.2 y anteriores, permiten a atacantes remotos conducir a un usuario a acceder a un sitio web arbitrario mediante la aplicación vulnerable. Como resultado, el usuario puede convertirse en víctima de un ataque de phishing
Vulnerabilidad en vectores no especificados en concentradores de conmutación NETGEAR GS716Tv2 y GS724Tv3 (CVE-2020-5621)
Gravedad:
MediaMedia
Publication date: 28/08/2020
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad de tipo Cross-site request forgery (CSRF) en concentradores de conmutación NETGEAR (GS716Tv2 versiones de Firmware 5.4.2.30 y anteriores, y GS724Tv3 versiones de Firmware 5.4.2.30 y anteriores), permite a atacantes remotos secuestrar la autenticación de administradores y alterar la configuración del dispositivo por medio de vectores no especificados
Vulnerabilidad en las comprobaciones de integridad de archivos en las consolas de administración de Trend Micro Deep Security (CVE-2020-8602)
Gravedad:
MediaMedia
Publication date: 27/08/2020
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad en las consolas de administración de Trend Micro Deep Security versiones 10.0-12.0 y Trend Micro Vulnerability Protection versión 2.0 SP2, puede permitir a un atacante autenticado con privilegios de control total omitir las comprobaciones de integridad de archivos, lo que conlleva a una ejecución de código remota
Vulnerabilidad en una descripción de problema en JetBrains YouTrack (CVE-2020-24618)
Gravedad:
MediaMedia
Publication date: 27/08/2020
Last modified:
04/09/2020
Descripción:
En las versiones de JetBrains YouTrack versiones anteriores a 2020.3.4313, 2020.2.11008, 2020.1.11011, 2019.1.65514, 2019.2.65515 y 2019.3.65516, un atacante puede recuperar una descripción de problema sin el acceso apropiado
Vulnerabilidad en el componente Likewise en Dell EMC Isilon OneFS y Dell EMC PowerScale OneFS (CVE-2020-5383)
Gravedad:
MediaMedia
Publication date: 27/08/2020
Last modified:
04/09/2020
Descripción:
Dell EMC Isilon OneFS versión 8.2.2 y Dell EMC PowerScale OneFS versión 9.0.0, contienen una vulnerabilidad de desbordamiento del búfer en el componente Likewise. Un atacante malicioso remoto no autenticado podría explotar esta vulnerabilidad para causar el reinicio del proceso
Vulnerabilidad en interpretación de los permisos en OpenZFS usado en FreeBSD (CVE-2020-24717)
Gravedad:
AltaAlta
Publication date: 27/08/2020
Last modified:
04/09/2020
Descripción:
OpenZFS versiones anteriores a 2.0.0-rc1, cuando es usado en FreeBSD, malinterpreta los permisos de grupo como permisos de usuario, como es demostrado por el modo 0770 que es equivalente al modo 0777
Vulnerabilidad en el manejo insuficiente de errores en el análisis de los mensajes en el componente Cisco Fabric Services de Cisco FXOS Software y Cisco NX-OS Software (CVE-2020-3517)
Gravedad:
AltaAlta
Publication date: 27/08/2020
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad en el componente Cisco Fabric Services de Cisco FXOS Software y Cisco NX-OS Software, podría permitir a un atacante no autenticado causar bloqueos en el proceso, lo que podría resultar en una condición de denegación de servicio (DoS) en un dispositivo afectado. El vector de ataque es dependiente de la configuración y podría ser remoto o adyacente. Para obtener más información sobre el vector de ataque, consulte la sección Detalles de este aviso. La vulnerabilidad es debido a un manejo insuficiente de errores cuando el software afectado analiza los mensajes de Cisco Fabric Services. Un atacante podría explotar esta vulnerabilidad mediante el envío de mensajes maliciosos de Cisco Fabric Services hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar una recarga de un dispositivo afectado, lo que podría resultar en una condición DoS
Vulnerabilidad en el manejo de los parámetros de comando en la CLI de administración local (local-mgmt) de Cisco UCS Manager Software (CVE-2020-3504)
Gravedad:
BajaBaja
Publication date: 27/08/2020
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad en la CLI de administración local (local-mgmt) de Cisco UCS Manager Software, podría permitir a un atacante local autenticado causar una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad es debido a un manejo inapropiado de los parámetros de comando de la CLI. Un atacante podría explotar esta vulnerabilidad mediante la ejecución de comandos específicos en la CLI local-mgmt en un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar que los procesos internos del sistema presenten un fallo para finalizar apropiadamente, lo que podría resultar en una acumulación de procesos atascados y conllevar a una lentitud en el acceso a la CLI de UCS Manager y la Interfaz de Usuario web. Un ataque sostenido puede resultar en un reinicio de los procesos internos de UCS Manager y una pérdida temporal de acceso a la CLI de UCS Manager y la Interfaz de Usuario web
Vulnerabilidad en los parámetros dentro de la configuración de la funcionalidad Call Home en el método de transporte HTTP de Cisco NX-OS Software (CVE-2020-3454)
Gravedad:
AltaAlta
Publication date: 27/08/2020
Last modified:
03/09/2020
Descripción:
Una vulnerabilidad en la funcionalidad Call Home de Cisco NX-OS Software, podría permitir a un atacante remoto autenticado inyectar comandos arbitrarios que podrían ser ejecutados con privilegios root en el sistema operativo (SO) subyacente. La vulnerabilidad es debido a una comprobación insuficiente de entrada de los parámetros de configuración específicos de Call Home cuando el software está configurado para el método de transporte HTTP. Un atacante podría explotar esta vulnerabilidad mediante la modificación de parámetros dentro de la configuración de Call Home en un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar comandos arbitrarios con privilegios root en el sistema operativo subyacente
Vulnerabilidad en la herramienta Try It en determinados productos WSO2 (CVE-2020-24706)
Gravedad:
MediaMedia
Publication date: 27/08/2020
Last modified:
04/09/2020
Descripción:
Se detectó un problema en determinados productos WSO2. La herramienta Try It permite un ataque de tipo XSS Reflejado. Esto afecta a API Manager versiones hasta 3.1.0, API Manager Analytics versión 2.5.0, IS as Key Manager versiones hasta 5.10.0, Identity Server versiones hasta 5.10.0, Identity Server Analytics versiones hasta 5.6.0 y IoT Server versión 3.1.0
Vulnerabilidad en el envío de determinados paquetes de Cisco Discovery Protocol de Cisco Video Surveillance 8000 Series IP Cameras (CVE-2020-3505)
Gravedad:
MediaMedia
Publication date: 26/08/2020
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad en el Cisco Discovery Protocol de Cisco Video Surveillance 8000 Series IP Cameras, podría permitir a un atacante adyacente no autenticado causar una pérdida de memoria, lo que podría conllevar a una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad es debido a un procesamiento incorrecto de determinados paquetes de Cisco Discovery Protocol. Un atacante podría explotar esta vulnerabilidad mediante el envío de determinados paquetes de Cisco Discovery Protocol hacia un dispositivo afectado. Una explotación con éxito podría permitir que el atacante cause que el dispositivo afectado consumiera memoria continuamente, lo que podría provocar que el dispositivo se bloquee y se recargue, resultando en una condición de DOS. Nota: Cisco Discovery Protocol es un protocolo de Capa 2. Para explotar esta vulnerabilidad, un atacante debe estar en el mismo dominio de transmisión que el dispositivo afectado (adyacente a Capa 2)
Vulnerabilidad en el envío de una petición HTTP en la interfaz de administración basada en web de Cisco Vision Dynamic Signage Director (CVE-2020-3490)
Gravedad:
MediaMedia
Publication date: 26/08/2020
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Vision Dynamic Signage Director podría permitir a un atacante autenticado remoto con privilegios administrativos conducir ataques salto de directorio y obtener acceso de lectura a archivos confidenciales en un sistema afectado. La vulnerabilidad se presenta porque la interfaz de administración basada en web no comprueba apropiadamente la entrada suministrada por el usuario. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada que contiene secuencias de caracteres salto de directorio hacia un sistema afectado. Una explotación con éxito podría permitir a un atacante leer archivos en el sistema operativo subyacente con privilegios root. Para explotar esta vulnerabilidad, el atacante necesitaría tener privilegios administrativos en el sistema afectado
Vulnerabilidad en el envío de una petición HTTP en la interfaz de administración basada en web de Cisco Vision Dynamic Signage Director (CVE-2020-3484)
Gravedad:
MediaMedia
Publication date: 26/08/2020
Last modified:
03/09/2020
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Vision Dynamic Signage Director podría permitir a un atacante remoto no autenticado visualizar información potencialmente confidencial en un dispositivo afectado. La vulnerabilidad es debido a permisos incorrectos dentro de la configuración de Apache. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada hacia la interfaz de administración basada en web. Una explotación con éxito podría permitir a un atacante visualizar información potencialmente confidencial en el dispositivo afectado

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la biblioteca lib/write.js en MoscaJS Aedes (CVE-2020-13410)
Gravedad:
MediaMedia
Publication date: 26/08/2020
Last modified:
04/09/2020
Descripción:
Se detectó un problema en MoscaJS Aedes versión 0.42.0. La biblioteca lib/write.js no considera apropiadamente unas excepciones durante la escritura de un paquete no válido en un flujo de datos
Vulnerabilidad en el acceso de SNMP WRITE en el EXTEND MIB en Net-SNMP (CVE-2020-15862)
Gravedad:
AltaAlta
Publication date: 19/08/2020
Last modified:
04/09/2020
Descripción:
Net-SNMP versiones hasta 5.7.3, presenta una Administración de Privilegios Inapropiada porque el acceso de SNMP WRITE en el EXTEND MIB provee la capacidad de ejecutar comandos arbitrarios como root.
Vulnerabilidad en el archivo fs/nfsd/vfs.c en el establecimiento de permisos en el kernel de Linux (CVE-2020-24394)
Gravedad:
BajaBaja
Publication date: 19/08/2020
Last modified:
15/09/2020
Descripción:
En el kernel de Linux versiones anteriores a 5.7.8, el archivo fs/nfsd/vfs.c (en el servidor NFS), puede establecer permisos incorrectos en nuevos objetos de un sistema de archivos cuando el sistema de archivos carece de soporte de ACL, también se conoce como CID-22cf8419f131. Esto ocurre porque no es considerada la umask actual.
Vulnerabilidad en el Control de Acceso en ColdFusion 2018 y ColdFusion 2016. (CVE-2019-8074)
Gravedad:
AltaAlta
Publication date: 27/09/2019
Last modified:
04/09/2020
Descripción:
ColdFusion 2018 - update 4 y anteriores y ColdFusion 2016 - update 11 y anteriores, presentan una vulnerabilidad de Salto de Ruta. Su explotación con éxito podría conllevar a la Omisión del Control de Acceso en el contexto del usuario actual.
Vulnerabilidad en ColdFusion 2018 y ColdFusion 2016. (CVE-2019-8073)
Gravedad:
AltaAlta
Publication date: 27/09/2019
Last modified:
04/09/2020
Descripción:
ColdFusion 2018 - update 4 y anteriores y ColdFusion 2016 - update 11 y anteriores, presentan una Inyección de Comando por medio de la vulnerabilidad del componente Vulnerable. Su explotación con éxito podría conllevar a la ejecución de código arbitrario en el contexto del usuario actual.
Vulnerabilidad en ColdFusion 2018 y ColdFusion 2016. (CVE-2019-8072)
Gravedad:
MediaMedia
Publication date: 27/09/2019
Last modified:
04/09/2020
Descripción:
ColdFusion 2018 - update 4 y anteriores y ColdFusion 2016 - update 11 y anteriores, presentan una vulnerabilidad de omisión de la Seguridad. Su explotación con éxito podría conllevar a una divulgación de información en el contexto del usuario actual.
Vulnerabilidad en ColdFusion (CVE-2019-7840)
Gravedad:
AltaAlta
Publication date: 12/06/2019
Last modified:
04/09/2020
Descripción:
Las versiones ColdFusion actualización 3 y anteriores, actualización 10 y anterior, y actualización 18 y anterior tienen una desrealización de vulnerabilidad de datos no seguros. Una operación con éxito, lleva a una ejecución de código arbitrario.
Vulnerabilidad en ColdFusion (CVE-2019-7839)
Gravedad:
AltaAlta
Publication date: 12/06/2019
Last modified:
04/09/2020
Descripción:
Las versiones ColdFusion actualización 3 y anteriores, actualización 10 y anteriores, y actualización 18 y anteriores tienen una vulnerabilidad de inyección de comandos. La operación con éxito podría llevar a la ejecución de código arbitrario.
Vulnerabilidad en ColdFusion UpColdFusion (CVE-2019-7838)
Gravedad:
AltaAlta
Publication date: 12/06/2019
Last modified:
04/09/2020
Descripción:
Las versiones ColdFusion Update 3 y anteriores, actualización 10 y anteriores y actualización 18 y anteriores tienen una vulnerabilidad de omisión de la lista negra de extensión de archivo. La explotación exitosa podría llevar a la ejecución de código arbitrario.
Vulnerabilidad en ColdFusion (CVE-2019-7092)
Gravedad:
MediaMedia
Publication date: 24/05/2019
Last modified:
04/09/2020
Descripción:
ColdFusion versiones Update 1 y anteriores, Update 7 y anteriores, y Update 15 y anteriores tienen una vulnerabilidad de Cross Site Scripting. Su explotación con éxito podría resultar en una divulgación de información
Vulnerabilidad en ColdFusion (CVE-2019-7091)
Gravedad:
AltaAlta
Publication date: 24/05/2019
Last modified:
04/09/2020
Descripción:
ColdFusion versiones Update 1 y anteriores, Update 7 y anteriores y Update 15 y anteriores tienen una vulnerabilidad de deserialización de datos no fiables. La explotación con éxito de esta vulnerabilidad podría permitir la ejecución arbitraria de código.
Vulnerabilidad en ColdFusion (CVE-2019-7816)
Gravedad:
AltaAlta
Publication date: 24/05/2019
Last modified:
04/09/2020
Descripción:
ColdFusion Update versión 2 y anteriores, Update versión 9 y anteriores, y Update versión 17 y anteriores, tienen una vulnerabilidad de omisión de restricción de carga de archivos. la explotación exitosa conllevaría a la ejecución de código arbitrario.
Vulnerabilidad en Adobe ColdFusion (CVE-2018-15957)
Gravedad:
AltaAlta
Publication date: 25/09/2018
Last modified:
04/09/2020
Descripción:
Adobe ColdFusion en versiones 12 de julio (2018.0.0.310739), Update 6 y anteriores, y Update 14 y anteriores, tiene una vulnerabilidad de deserialización de datos no fiables. La explotación con éxito de esta vulnerabilidad podría permitir la ejecución arbitraria de código.
Vulnerabilidad en Adobe ColdFusion (CVE-2018-15958)
Gravedad:
AltaAlta
Publication date: 25/09/2018
Last modified:
04/09/2020
Descripción:
Adobe ColdFusion en versiones 12 de julio (2018.0.0.310739), Update 6 y anteriores, y Update 14 y anteriores, tiene una vulnerabilidad de deserialización de datos no fiables. La explotación con éxito de esta vulnerabilidad podría permitir la ejecución arbitraria de código.
Vulnerabilidad en Adobe ColdFusion (CVE-2018-15959)
Gravedad:
AltaAlta
Publication date: 25/09/2018
Last modified:
04/09/2020
Descripción:
Adobe ColdFusion en versiones 12 de julio (2018.0.0.310739), Update 6 y anteriores, y Update 14 y anteriores, tiene una vulnerabilidad de deserialización de datos no fiables. La explotación con éxito de esta vulnerabilidad podría permitir la ejecución arbitraria de código.
Vulnerabilidad en Adobe ColdFusion (CVE-2018-15960)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
04/09/2020
Descripción:
Adobe ColdFusion en versiones 12 de julio (2018.0.0.310739), Update 6 y anteriores, y Update 14 y anteriores, tiene una vulnerabilidad de componente con vulnerabilidad conocida. Su explotación con éxito podría permitir la sobrescritura de archivos arbitrarios.
Vulnerabilidad en Adobe ColdFusion (CVE-2018-15961)
Gravedad:
AltaAlta
Publication date: 25/09/2018
Last modified:
04/09/2020
Descripción:
Adobe ColdFusion en versiones 12 de julio (2018.0.0.310739), Update 6 y anteriores, y Update 14 y anteriores, tiene una vulnerabilidad de subida de archivos sin restricción. La explotación con éxito de esta vulnerabilidad podría permitir la ejecución arbitraria de código.
Vulnerabilidad en Adobe ColdFusion (CVE-2018-15963)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
04/09/2020
Descripción:
Adobe ColdFusion en versiones 12 de julio (2018.0.0.310739), Update 6 y anteriores, y Update 14 y anteriores, tiene una vulnerabilidad de omisión de seguridad. Su explotación con éxito podría permitir la creación de carpetas arbitrarias.
Vulnerabilidad en Adobe ColdFusion (CVE-2018-15964)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
04/09/2020
Descripción:
Adobe ColdFusion en versiones 12 de julio (2018.0.0.310739), Update 6 y anteriores, y Update 14 y anteriores, tiene una vulnerabilidad de componente con vulnerabilidad conocida. Su explotación con éxito podría resultar en una divulgación de información.
Vulnerabilidad en Adobe ColdFusion (CVE-2018-15965)
Gravedad:
AltaAlta
Publication date: 25/09/2018
Last modified:
04/09/2020
Descripción:
Adobe ColdFusion en versiones 12 de julio (2018.0.0.310739), Update 6 y anteriores, y Update 14 y anteriores, tiene una vulnerabilidad de deserialización de datos no fiables. La explotación con éxito de esta vulnerabilidad podría permitir la ejecución arbitraria de código.
Vulnerabilidad en Adobe ColdFusion (CVE-2018-15962)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
04/09/2020
Descripción:
Adobe ColdFusion en versiones 12 de julio (2018.0.0.310739), Update 6 y anteriores, y Update 14 y anteriores, tiene una vulnerabilidad de omisión de seguridad. Su explotación con éxito podría resultar en una divulgación de información.
Vulnerabilidad en el framework web de Cisco Small Business Managed Switches (CVE-2017-12307)
Gravedad:
MediaMedia
Publication date: 18/01/2018
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad en el framework web de Cisco Small Business Managed Switches Software podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de Cross-Site Scripting (XSS) reflejado contra un usuario de dicha interfaz en el sistema afectado. La vulnerabilidad se debe a una validación de entrada insuficiente de parámetros que se pasan al servidor web del sistema afectado. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de que acceda a un enlace malicioso o interceptando e inyectando código en una petición de usuario. Un exploit con éxito podría permitir que el atacante ejecute código script arbitrario en el contexto de la interfaz web afectada o que acceda a información sensible del navegador. Esta vulnerabilidad afecta a los siguientes productos de Cisco Small Business 300 and 500 Series Managed Switches: Cisco Small Business 300 Series Managed Switches, Cisco Small Business 500 Series Stackable Managed Switches, Cisco 350 Series Managed Switches, Cisco 350X Series Stackable Managed Switches, Cisco 550X Series Stackable Managed Switches y Cisco ESW2 Series Advanced Switches. Cisco Bug IDs: CSCvg24637.
Vulnerabilidad en el framework web de Cisco Small Business Managed Switches (CVE-2017-12308)
Gravedad:
MediaMedia
Publication date: 18/01/2018
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad en el framework web de Cisco Small Business Managed Switches Software podría permitir que un atacante remoto sin autenticar lleve a cabo un ataque de separación de respuesta HTTP contra un usuario de dicha interfaz en el sistema afectado. La vulnerabilidad se debe a una validación de entrada insuficiente de algunos parámetros que se pasan al servidor web del sistema afectado. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario de que acceda a un enlace malicioso o interceptando una petición de usuario e inyectando código malicioso en la petición. Un exploit con éxito podría permitir que el atacante ejecute código script arbitrario en el contexto de la interfaz web afectada o que acceda a información sensible del navegador. Esta vulnerabilidad afecta a los siguientes productos de Cisco Small Business 300 and 500 Series Managed Switches: Cisco 350 Series Managed Switches, Cisco 350X Series Stackable Managed Switches, Cisco 550X Series Stackable Managed Switches, Cisco ESW2 Series Advanced Switches, Cisco Small Business 300 Series Managed Switches y Cisco Small Business 500 Series Stackable Managed Switches. Cisco Bug IDs: CSCvg29980.
Vulnerabilidad en el susbistema Secure Shell de Cisco Small Business Managed Switches (CVE-2017-6720)
Gravedad:
MediaMedia
Publication date: 21/09/2017
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad en el subsistema Secure Shell (SSH) del software de Cisco Small Business Managed Switches podría permitir que un usuario remoto autenticado provoque la recarga del switch afectado. Esto resultaría en una condición de denegación de servicio. Esta vulnerabilidad se debe al procesado incorrecto de las conexiones SSH. Un atacante podría explotar esta vulnerabilidad iniciando sesión en un switch afectado mediante SSH y enviando un mensaje SSH malicioso. Esta vulnerabilidad afecta a los siguientes productos Cisco cuando SSH está activado: Small Business 300 Series Managed Switches, Small Business 500 Series Stackable Managed Switches, 350 Series Managed Switches, 350X Series Stackable Managed Switches, 550X Series Stackable Managed Switches y ESW2 Series Advanced Switches. Cisco Bug IDs: CSCvb48377.
Vulnerabilidad en la funcionalidad Office Open XML (OOXML) en Adobe ColdFusion (CVE-2016-4264)
Gravedad:
MediaMedia
Publication date: 01/09/2016
Last modified:
04/09/2020
Descripción:
La funcionalidad Office Open XML (OOXML) en Adobe ColdFusion 10 en versiones anteriores a Update 21 y 11 en versiones anteriores a Update 10 permite a atacantes remotos leer archivos arbitrarios o enviar peticiones TCP a servidores de intranet a través de una hoja de cálculo OOXML manipulada que contiene una declaración de entidad externa en conjunción con una referencia de entidad, relacionado con un problema XML External Entity (XXE).
Vulnerabilidad en Adobe BlazeDS en ColdFusion y LiveCycle Data Services (CVE-2015-5255)
Gravedad:
MediaMedia
Publication date: 18/11/2015
Last modified:
04/09/2020
Descripción:
Adobe BlazeDS, como se utiliza en ColdFusion 10 en versiones anteriores a Update 18 y 11 en versiones anteriores a Update 7 y LiveCycle Data Services 3.0.x en versiones anteriores a 3.0.0.354175, 3.1.x en versiones anteriores a 3.1.0.354180, 4.5.x en versiones anteriores a 4.5.1.354177, 4.6.2.x en versiones anteriores a 4.6.2.354178 y 4.7.x en versiones anteriores a 4.7.0.354178, permite a atacantes remotos enviar tráfico HTTP a los servidores de la intranet a través de un documento XML manipulado, relacionado con un problema Server-Side Request Forgery (SSRF).
Vulnerabilidad en Adobe ColdFusion (CVE-2015-8052)
Gravedad:
MediaMedia
Publication date: 18/11/2015
Last modified:
04/09/2020
Descripción:
Vulnerabilidad de XSS en Adobe ColdFusion 10 en versiones anteriores a Update 18 y 11 en versiones anteriores a Update 7 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados, una vulnerabilidad diferente a CVE-2015-8053.
Vulnerabilidad en Adobe ColdFusion (CVE-2015-8053)
Gravedad:
MediaMedia
Publication date: 18/11/2015
Last modified:
04/09/2020
Descripción:
Vulnerabilidad de XSS en Adobe ColdFusion 10 en versiones anteriores a Update 18 y 11 en versiones anteriores a Update 7 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados, una vulnerabilidad diferente a CVE-2015-8052.
Vulnerabilidad en Adobe ColdFusion (CVE-2015-0345)
Gravedad:
MediaMedia
Publication date: 15/04/2015
Last modified:
04/09/2020
Descripción:
Vulnerabilidad de XSS en Adobe ColdFusion 10 anterior a Update 16 y 11 anterior a Update 5 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados.
Vulnerabilidad en Adobe ColdFusion (CVE-2014-9166)
Gravedad:
MediaMedia
Publication date: 10/12/2014
Last modified:
04/09/2020
Descripción:
Adobe ColdFusion 10 anterior a Update 15 y 11 anterior a Update 3 permite a atacantes causar una denegación de servicio (consumo de recursos) a través de vectores no especificados.
Vulnerabilidad en Adobe ColdFusion (CVE-2014-0572)
Gravedad:
MediaMedia
Publication date: 15/10/2014
Last modified:
04/09/2020
Descripción:
Adobe ColdFusion 9.0 anterior a Update 13, 9.0.1 anterior a Update 12, 9.0.2 anterior a Update 7, 10 anterior a Update 14, y 11 anterior a Update 2 permite a usuarios locales evadir las restricciones de acceso basadas en IP a través de vectores no especificados.
Vulnerabilidad en Adobe ColdFusion (CVE-2014-0571)
Gravedad:
MediaMedia
Publication date: 15/10/2014
Last modified:
04/09/2020
Descripción:
Vulnerabilidad de XSS en Adobe ColdFusion 9.0 anterior a Update 13, 9.0.1 antterior a Update 12, 9.0.2 anterior a Update 7, 10 anterior a Update 14, y 11 anterior a Update 2 permite a atacantes remotos inyectar secuencias de comandos remotos a través de vectores no especificados.
Vulnerabilidad en Adobe ColdFusion (CVE-2014-0570)
Gravedad:
MediaMedia
Publication date: 15/10/2014
Last modified:
04/09/2020
Descripción:
Vulnerabilidad de CSRF en Adobe ColdFusion 9.0 anterior a Update 13, 9.0.1 anterior a Update 12, 9.0.2 anterior a Update 7, 10 anterior a Update 14, y 11 anterior a Update 2 permite a atacantes remotos secuestrar la autenticación de victimas no especificadas a través de vectores desconocidos.
Vulnerabilidad en Adobe (CVE-2013-5328)
Gravedad:
AltaAlta
Publication date: 12/11/2013
Last modified:
04/09/2020
Descripción:
Adobe ColdFusion 10 anterior a Update 12 permite a atacantes remotos leer ficheros arbitrarios a través de vectores sin especificar
Vulnerabilidad en el directorio CFIDE en Adobe ColdFusion (CVE-2013-5326)
Gravedad:
BajaBaja
Publication date: 12/11/2013
Last modified:
04/09/2020
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en Adobe ColdFusion versión 9.0 anterior a Update 12, versión 9.0.1 anterior a Update 11, versión 9.0.2 anterior a Update 6 y versión 10 anterior a Update 12, cuando el directorio CFIDE está disponible, permite a los usuarios autenticados remotamente inyectar script web o HTML arbitrario por medio de vectores no especificados relacionados con el directorio logviewer.
Vulnerabilidad en Adobe ColdFusion 10 (CVE-2013-3350)
Gravedad:
AltaAlta
Publication date: 10/07/2013
Last modified:
04/09/2020
Descripción:
Adobe ColdFusion 10 anterior a Update 11, permite a atacantes remotos llamar a los métodos públicos de los Componentes de Coldfusion (CFC) a través de WebSockets.
Vulnerabilidad en Adobe ColdFusion (CVE-2013-1389)
Gravedad:
AltaAlta
Publication date: 16/05/2013
Last modified:
04/09/2020
Descripción:
Vulnerabilidad no especificada en Adobe ColdFusión v9.0 anterior a Update 11, v9.0.1 anterior a Update v10, v9.0.2 anterior a Update 5, y v10 anterior a Update 10 permite a atacantes remotos ejecutar código arbitrario mediante vectores desconocidos.
Vulnerabilidad en Adobe ColdFusion (CVE-2013-1388)
Gravedad:
AltaAlta
Publication date: 10/04/2013
Last modified:
04/09/2020
Descripción:
Vulnerabilidad sin especificar en Adobe ColdFusion v9.0 anterior a Update v10, v9.0.1 anterior a v9, v9.0.2 anterior a Update v4, y v10 anterior a Update v9 que permite a atacantes conseguir consola de administrador a través de vectores sin especificar.
CVE-2013-1387
Gravedad:
AltaAlta
Publication date: 10/04/2013
Last modified:
04/09/2020
Descripción:
Vulnerabilidad no especificada en Adobe ColdFusion v9.0 anterior a Update v10, v9.0.1 anterior a Update v9, v9.0.2 anterior a Update v4, y v10 anterior a Update v9 permite a los atacantes suplantar a los usuarios a través de vectores desconocidos.
Vulnerabilidad en Adobe ColdFusion (CVE-2012-5674)
Gravedad:
AltaAlta
Publication date: 20/11/2012
Last modified:
04/09/2020
Descripción:
Vulnerabilidad no especificada en Adobe ColdFusion v10 antes de Update 5, cuando los Servicios de Internet Information Server (IIS) se utilizan, permite a atacantes provocar una denegación de servicio a través de vectores desconocidos.