Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Hyland OnBase (CVE-2020-25252)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
09/11/2020
Descripción:
Se detectó un problema en Hyland OnBase versión hasta la 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión20.3.10.1000 e inferior. El CSRF puede utilizarse para iniciar la sesión de un usuario y luego realizar acciones, porque hay credenciales predeterminadas (la contraseña de wstinol para el administrador o la cuenta hsi)
Vulnerabilidad en Hyland OnBase (CVE-2020-25260)
Gravedad:
AltaAlta
Publication date: 11/09/2020
Last modified:
09/11/2020
Descripción:
Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferiores, versión 17.0.2.109 e inferiores, versión 18.0.0.37 e inferiores, versión 19.8.16.1000 e inferiores y versión 20.3.10.1000 e inferiores. Permite a los atacantes remotos ejecutar códigos arbitrarios debido a la deserialización insegura de JSON
Vulnerabilidad en Hyland OnBase (CVE-2020-25259)
Gravedad:
AltaAlta
Publication date: 11/09/2020
Last modified:
09/11/2020
Descripción:
Se detectó un problema en Hyland OnBase versión16.0.2.83 e inferiores, versión 17.0.2.109 e inferiores, versión 18.0.0.37 e inferiores, versión 19.8.16.1000 e inferiores y versión 20.3.10.1000 e inferiores. Utiliza las bibliotecas de deserialización XML de manera insegura
Vulnerabilidad en Hyland OnBase (CVE-2020-25258)
Gravedad:
AltaAlta
Publication date: 11/09/2020
Last modified:
09/11/2020
Descripción:
Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Utiliza ASP.NET BinaryFormatter.Deserializar de manera que permite a los atacantes transmitir y ejecutar bytecode en los mensajes SOAP
Vulnerabilidad en Hyland OnBase (CVE-2020-25257)
Gravedad:
AltaAlta
Publication date: 11/09/2020
Last modified:
09/11/2020
Descripción:
Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Permite ataques XXE para el acceso de lectura/escritura a archivos arbitrarios
Vulnerabilidad en Hyland OnBase (CVE-2020-25256)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
09/11/2020
Descripción:
Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Los certificados de PKI tienen una clave privada que es la misma en las instalaciones de los diferentes clientes
Vulnerabilidad en Hyland OnBase (CVE-2020-25255)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
09/11/2020
Descripción:
Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Permite a los atacantes remotos causar una denegación de servicio (interrupción del procesamiento de la solicitud de conexión) a través de una larga identificación de usuario, que desencadena una excepción y una gran entrada de registro
Vulnerabilidad en Hyland OnBase (CVE-2020-25254)
Gravedad:
AltaAlta
Publication date: 11/09/2020
Last modified:
09/11/2020
Descripción:
Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Permite la inyección SQL, como se demuestra en TestConnection_LocalOrLinkedServer, CreateFilterFriendlyView o AddWorkViewLinkedServer
Vulnerabilidad en Hyland OnBase (CVE-2020-25253)
Gravedad:
AltaAlta
Publication date: 11/09/2020
Last modified:
09/11/2020
Descripción:
Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Permite la inyección SQL, como se demuestra por el parámetro TableName, ColumnName, Name, UserId o Password
Vulnerabilidad en Hyland OnBase (CVE-2020-25251)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
09/11/2020
Descripción:
Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. La autenticación del lado del cliente se utiliza para funciones críticas como la adición de usuarios o la recuperación de información sensible
Vulnerabilidad en Hyland OnBase (CVE-2020-25250)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
09/11/2020
Descripción:
Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Las aplicaciones cliente pueden escribir datos arbitrarios en los registros del servidor
Vulnerabilidad en Hyland OnBase (CVE-2020-25249)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
09/11/2020
Descripción:
Se detectó un problema en Hyland OnBase versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. El servidor normalmente registra la actividad sólo cuando una aplicación cliente especifica que se desea registrar. Esto puede ser problemático para los casos de uso en una industria regulada, en la que se requiere el registro del lado del servidor en situaciones adicionales
Vulnerabilidad en Hyland OnBase (CVE-2020-25248)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
09/11/2020
Descripción:
Se detectó un problema en Hyland OnBase hasta la versión 16.0.2.83 e inferior, versión 17.0.2.109 e inferior, versión 18.0.0.37 e inferior, versión 19.8.16.1000 e inferior y versión 20.3.10.1000 e inferior. Existe un recorrido de directorios para la lectura de archivos, como lo demuestra el parámetro FileName
Vulnerabilidad en el parámetro FileName en Hyland OnBase (CVE-2020-25247)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
06/10/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta la 18.0.0.32 y versiones 19.x hasta 19.8.9.1000. Se presenta un salto de directorio para escribir en archivos, como es demostrado por el parámetro FileName
Vulnerabilidad en llamadas regulares de .slice() en el argumento de consume() en el estado de BufferList en bl (CVE-2020-8244)
Gravedad:
MediaMedia
Publication date: 30/08/2020
Last modified:
14/09/2020
Descripción:
Se presenta una vulnerabilidad de lectura excesiva del búfer en bl versiones anteriores a 4.0.3, versiones anteriores a 3.0.1, versiones anteriores a 2.2.1 versiones anteriores a 1.2.3 que podría permitir a un atacante suministrar información del usuario (incluso escrita) que si termina en el argumento de consume() y puede volverse negativa, el estado de BufferList puede estar corrupto, engañándolo para que exponga la memoria no inicializada por medio de llamadas regulares de .slice()
Vulnerabilidad en el archivo yaws_config.erl en cifrados TLS en Yaws (CVE-2020-12872)
Gravedad:
BajaBaja
Publication date: 15/05/2020
Last modified:
14/09/2020
Descripción:
El archivo yaws_config.erl en Yaws versiones hasta 2.0.2 y/o 2.0.7, carga cifrados TLS obsoletos, como es demostrado por los que permiten ataques de tipo Sweet32, si se ejecuta en una máquina virtual Erlang/OTP con una versión inferior a 21.0
Vulnerabilidad en análisis de los archivos de configuración en Apache log4net (CVE-2018-1285)
Gravedad:
AltaAlta
Publication date: 11/05/2020
Last modified:
14/09/2020
Descripción:
Apache log4net versiones anteriores a 2.0.10, no deshabilita las entidades externas XML cuando analiza los archivos de configuración de log4net. Esto permite realizar ataques basados en XXE en aplicaciones que aceptan archivos de configuración log4net controlados por el atacante