Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en en SyncManager en un PendingIntent en Android (CVE-2020-0426)
Gravedad:
BajaBaja
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En SyncManager, se presenta una posible omisión de permisos debido a un PendingIntent no seguro. Esto podría En SyncManager, se presenta una posible omisión de permisos debido a un PendingIntent no seguro. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-154921790
Vulnerabilidad en un puntero sin procesar devuelto en el analizador OMX en Android (CVE-2020-0274)
Gravedad:
BajaBaja
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En el analizador OMX, se presenta una posible divulgación de información debido a un puntero sin procesar devuelto. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-120781925
Vulnerabilidad en la comprobación de permisos en NetworkPolicyManagerService en Android (CVE-2020-0277)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En NetworkPolicyManagerService, se presenta una posible omisión de permisos debido a una falta de comprobación de permisos. Esto podría conllevar a una escalada de privilegios local que permite a una aplicación maliciosa modificar el plan de datos del dispositivo sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-148627993
Vulnerabilidad en la comprobación de límites en el analizador AAC en Android (CVE-2020-0279)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En el analizador AAC, presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-131430997
Vulnerabilidad en libstagefright en Android (CVE-2020-0301)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En libstagefright, se presenta un posible agotamiento de los recursos debido a una comprobación inapropiada de la entrada. Esto podría conllevar a una denegación de servicio remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-124940460
Vulnerabilidad en las comprobaciones de permiso en AudioService en Android (CVE-2020-0314)
Gravedad:
BajaBaja
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En AudioService, presenta una falta de comprobaciones de permiso. Esto podría conllevar a una divulgación de información local de la configuración de audio sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-154934920
Vulnerabilidad en datos no inicializados en el extractor de mp3 en Android (CVE-2020-0321)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En el extractor de mp3, se presenta una posible escritura fuera de límites debido a datos no inicializados. Esto podría conllevar a una ejecución de código remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-155171907
Vulnerabilidad en la comprobación de entrada en UrlQuerySanitizer en Android (CVE-2020-0333)
Gravedad:
AltaAlta
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En UrlQuerySanitizer, se presenta una posible comprobación de entrada inapropiada. Esto podría conllevar a una ejecución de código remota sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-73822755
Vulnerabilidad en una confusión de tipo en SurfaceFlinger en Android (CVE-2020-0336)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En SurfaceFlinger, se presenta una posible corrupción de la memoria debido a una confusión de tipo. Esto podría conllevar a una escalada de privilegios local con los privilegios de ejecución System necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-153467444
Vulnerabilidad en datos no inicializados en libcodec2_soft_mp3dec en Android (CVE-2020-0340)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En libcodec2_soft_mp3dec, se presenta una posible divulgación de información debido a datos no inicializados. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-144901522
Vulnerabilidad en comprobación de permisos en NetworkStatsService en Android (CVE-2020-0343)
Gravedad:
BajaBaja
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En NetworkStatsService, se presenta un posible acceso a datos protegidos debido a una falta de comprobación de permisos. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-119672472
Vulnerabilidad en MediaProvider en Android (CVE-2020-0344)
Gravedad:
BajaBaja
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En MediaProvider, se presenta una posible omisión de permisos debido a la inyección SQL. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-140729887
Vulnerabilidad en Mediaserver en Android (CVE-2020-0346)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En Mediaserver, se presenta una posible escritura fuera de límites debido a un desbordamiento de enteros. Esto podría conllevar a una escalada de privilegios local si el saneamiento de enteros no estuviera habilitada (que es por defecto), sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-147002762
Vulnerabilidad en la comprobación de entrada en libstagefright en Android (CVE-2020-0351)
Gravedad:
AltaAlta
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En libstagefright, se presenta un posible agotamiento de la CPU debido a una comprobación inapropiada de la entrada. Esto podría conllevar a una denegación de servicio remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-124777537
Vulnerabilidad en MediaProvider en Android (CVE-2020-0352)
Gravedad:
BajaBaja
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En MediaProvider, se presenta una posible omisión de permisos debido a la inyección SQL. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-132074310
Vulnerabilidad en la comprobación de límites en libmp4extractor en Android (CVE-2020-0353)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En libmp4extractor, se presenta un posible agotamiento de los recursos debido a una falta de comprobación de límites. Esto podría conllevar a una denegación de servicio remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-124777526
Vulnerabilidad en la comprobación de límites en libFraunhoferAAC en Android (CVE-2020-0355)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En libFraunhoferAAC, se presenta una posible lectura fuera de límites debido a una falta de comprobación de límites. Esto podría conllevar a una divulgación de información remota sin ser necesarios privilegios de ejecución adicionales. Es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-141883493
Vulnerabilidad en un bloqueo en SurfaceFlinger en Android (CVE-2020-0357)
Gravedad:
MediaMedia
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En SurfaceFlinger, se presenta un posible uso después de la liberación debido a un bloqueo inadecuado. Esto podría conllevar a una escalada de privilegios local en el servidor de gráficos sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-150225569
Vulnerabilidad en GLESRenderEngine en Android (CVE-2020-0359)
Gravedad:
BajaBaja
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En GLESRenderEngine, se presenta una posible lectura fuera de límites debido a un desbordamiento del búfer. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-150303018
Vulnerabilidad en la comprobación de permisos en ActivityManager en Android (CVE-2020-0372)
Gravedad:
BajaBaja
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En ActivityManager, se presenta un posible acceso a datos protegidos debido a una falta de comprobación de permisos. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-119673147
Vulnerabilidad en SoundTriggerHwService en Android (CVE-2020-0373)
Gravedad:
BajaBaja
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En SoundTriggerHwService, se presenta una posible lectura fuera de límites debido a una condición de carrera. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-146894086
Vulnerabilidad en la comprobación de permisos en Telephony en Android (CVE-2020-0375)
Gravedad:
AltaAlta
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En Telephony, se presenta una posible omisión de permisos debido a una falta de comprobación de permisos. Esto podría conllevar a una escalada de privilegios local y a la configuración de países EUICC admitidos sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-156253476
Vulnerabilidad en visualización de las notificaciones en la función "Lockdown" en Android (CVE-2020-0425)
Gravedad:
BajaBaja
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
Se presenta una manera posible para visualizar las notificaciones inclusive cuando la función "Lockdown" está activada. Esto podría conllevar a una divulgación de información local sin ser necesarios privilegios de ejecución adicionales. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11, ID de Android: A-124000380
Vulnerabilidad en una excepción no detectada en el archivo dumpstate.cpp en la función RunInternal en Android (CVE-2020-0382)
Gravedad:
BajaBaja
Publication date: 17/09/2020
Last modified:
21/09/2020
Descripción:
En la función RunInternal del archivo dumpstate.cpp, se presenta una posible omisión del consentimiento del usuario debido a una excepción no detectada. Esto podría conllevar a una divulgación de información local de los datos del reporte de errores con privilegios de ejecución System necesarios. No es requerida una interacción del usuario para su explotación. Producto: Android, Versiones: Android-11 Android-10, ID de Android: A-152944488
Vulnerabilidad en el DNS en Freebox HD (CVE-2020-24374)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
21/09/2020
Descripción:
Una vulnerabilidad de reenlace DNS en Freebox HD versiones anteriores a 1.5.29
Vulnerabilidad en el DNS en la interfaz web del sistema operativo Freebox en Freebox Server (CVE-2020-24377)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
21/09/2020
Descripción:
Una vulnerabilidad de reenlace de DNS en la interfaz web del sistema operativo Freebox en Freebox Server versiones anteriores a 4.2.3
Vulnerabilidad en el DNS en las implementaciones de UPnP IGD en Freebox Server (CVE-2020-24376)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
21/09/2020
Descripción:
Una vulnerabilidad de reenlace de DNS en las implementaciones de UPnP IGD en Freebox Server versiones anteriores a 4.2.3
Vulnerabilidad en la implementación de UPnP MediaServer en Freebox Server (CVE-2020-24373)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
21/09/2020
Descripción:
Una vulnerabilidad de tipo CSRF en la implementación de UPnP MediaServer en Freebox Server versiones anteriores a 4.2.3
Vulnerabilidad en la creación de un archivo .SDB en SCADAPack 7x0 Security Administrator (CVE-2020-7532)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
21/09/2020
Descripción:
Se presenta una vulnerabilidad de Deserialización de Datos No Confiables CWE-502, en SCADAPack x70 Security Administrator (versiones V1.2.0 y anteriores) que podría permitir una ejecución de código arbitraria cuando un atacante crea un archivo .SDB personalizado que contiene un búfer serializado malicioso
Vulnerabilidad en el Control de Acceso en SCADAPack 7x Remote Connect (CVE-2020-7531)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
21/09/2020
Descripción:
Se presenta una vulnerabilidad de Control de Acceso Inapropiado CWE-284, en SCADAPack 7x Remote Connect (versiones V3.6.3.574 y anteriores) que permite a un atacante colocar archivos ejecutables en una carpeta específica y ejecutar código cada vez que el usuario ejecuta RemoteConnect
Vulnerabilidad en carpetas de código ejecutable en SCADAPack 7x Remote Connect (CVE-2020-7530)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
21/09/2020
Descripción:
Se presenta una vulnerabilidad de Autorización Inapropiada CWE-285 en SCADAPack 7x Remote Connect (versiones V3.6.3.574 y anteriores) que permite un acceso inapropiado a unas carpetas de código ejecutable
Vulnerabilidad en un archivo .RCZ en SCADAPack 7x Remote Connect (CVE-2020-7529)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
21/09/2020
Descripción:
Se presenta una vulnerabilidad de Limitación Inapropiada de un Nombre de Ruta a un Directorio Restringido ("Path Transversal") CWE-22, en SCADAPack 7x Remote Connect (versiones V3.6.3.574 y anteriores) que permite a un atacante colocar contenido en cualquier carpeta desprotegida del sistema de destino usando un archivo .RCZ diseñado
Vulnerabilidad en un archivo .PRJ en SCADAPack 7x Remote Connect (CVE-2020-7528)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
21/09/2020
Descripción:
Se presenta una vulnerabilidad de Deserialización de Datos No Confiables CWE-502 en SCADAPack 7x Remote Connect (versiones V3.6.3.574 y anteriores) que podría permitir una ejecución de código arbitraria cuando un atacante crea un archivo .PRJ personalizado que contiene un búfer serializado malicioso
Vulnerabilidad en acceso a metadatos en cualquier archivo en el controlador de Jenkins MongoDB Plugin (CVE-2020-2268)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
21/09/2020
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins MongoDB Plugin versiones 1.3 y anteriores, permite a atacantes conseguir acceso a algunos metadatos de cualquier archivo arbitrario en el controlador de Jenkins
Vulnerabilidad en la función print_set_output en gnuplot (CVE-2020-25559)
Gravedad:
MediaMedia
Publication date: 16/09/2020
Last modified:
21/09/2020
Descripción:
gnuplot versión 5.5, está afectado por una doble liberación cuando se ejecutar la función print_set_output. Esto puede resultar en una ejecución de código arbitraria dependiendo del contexto
Vulnerabilidad en la carga de un shell web PHP en el archivo /Online%20Course%20Registration/my-profile.php en el parámetro POST photo en el servidor web de alojamiento en SourceCodester Online Course Registration (CVE-2020-23828)
Gravedad:
AltaAlta
Publication date: 15/09/2020
Last modified:
21/09/2020
Descripción:
Una vulnerabilidad de Carga de Archivos en SourceCodester Online Course Registration versión v1.0, permite a atacantes remotos alcanzar una Ejecución de Código Remota (RCE) en el servidor web de alojamiento mediante la carga de un shell web PHP diseñado que omite los filtros de carga de imágenes. Un ataque utiliza el archivo /Online%20Course%20Registration/my-profile.php con el parámetro POST photo
Vulnerabilidad en el campo "message" en el módulo contactform de PrestaShop (CVE-2020-15178)
Gravedad:
MediaMedia
Publication date: 15/09/2020
Last modified:
21/09/2020
Descripción:
En el módulo contactform de PrestaShop (prestashop/contactform) versiones anteriores a 4.3.0, un atacante puede inyectar JavaScript mientras usa el formulario de contacto. El campo "message" estaba sin escapar incorrectamente, lo que posiblemente permitió a atacantes ejecutar JavaScript arbitrario en el navegador de la víctima
Vulnerabilidad en los archivos de configuración en el componente Lenovo Vantage llamado Lenovo System Interface Foundation (CVE-2020-8346)
Gravedad:
BajaBaja
Publication date: 15/09/2020
Last modified:
21/09/2020
Descripción:
Se reportó de una vulnerabilidad de denegación de servicio en el componente Lenovo Vantage llamado Lenovo System Interface Foundation versiones anteriores a 1.1.19.5, que podría permitir que los archivos de configuración se escribieran en ubicaciones no estándar
Vulnerabilidad en Lenovo System Update (CVE-2020-8342)
Gravedad:
MediaMedia
Publication date: 15/09/2020
Last modified:
21/09/2020
Descripción:
Se reportó una vulnerabilidad de condición de carrera en Lenovo System Update versiones anteriores a 5.07.0106, que podría permitir una escalada de privilegios
Vulnerabilidad en una petición de descompresión "one-shot" en un script en la biblioteca Brotli (CVE-2020-8927)
Gravedad:
MediaMedia
Publication date: 15/09/2020
Last modified:
26/10/2020
Descripción:
Se presenta un desbordamiento del búfer en la biblioteca Brotli versiones anteriores a 1.0.8, donde un atacante que controla la longitud de entrada de una petición de descompresión "one-shot" en un script puede desencadenar un bloqueo, que ocurre cuando se copian fragmentos de datos de más de 2 GiB . Se recomienda actualizar su biblioteca de Brotli a la versión 1.0.8 o posterior. Si no se puede actualizar, recomendamos usar la API "streaming" en lugar de la API "one-shot" e imponer límites de tamaño de fragmentos
Vulnerabilidad en una opción de omisión de OpenVPN “split tunnel” en el Private Internet Access (PIA) VPN Client para Linux (CVE-2020-15590)
Gravedad:
MediaMedia
Publication date: 14/09/2020
Last modified:
21/09/2020
Descripción:
Una vulnerabilidad en el Private Internet Access (PIA) VPN Client para Linux versiones 1.5 hasta 2.3+, permite a atacantes remotos omitir un mecanismo de desconexión automática de VPN previsto y leer información confidencial por medio de la interceptación del tráfico de red. A partir de la versión 1.5, PIA ha admitido una opción de omisión de OpenVPN “split tunnel”. El firewall PIA killswitch & associated iptables asociado está diseñado para protegerle mientras utiliza Internet. Cuando el switch de interrupción está configurado para bloquear todo el tráfico de red entrante y saliente, las aplicaciones privilegiadas pueden continuar enviando y recibiendo tráfico de red si net.ipv4.ip_forward ha sido habilitado en los parámetros del kernel del sistema. Por ejemplo, un contenedor Docker que se ejecuta en un host con la VPN apagada y el switch de interrupción encendido puede continuar usando Internet, filtrando la IP del host (CWE 200). En PIA versiones 2.4.0+, El enrutamiento basado en políticas está habilitado por defecto y es usado para dirigir todos los paquetes reenviados hacia la interfaz VPN automáticamente
Vulnerabilidad en la página profile activity en GitLab (CVE-2020-13315)
Gravedad:
MediaMedia
Publication date: 14/09/2020
Last modified:
21/09/2020
Descripción:
Se detectó una vulnerabilidad en GitLab versiones anteriores a 13.1.10, 13.2.8 y 13.3.4. La página profile activity no estaba restringiendo la cantidad de resultados que uno podía requerir, resultando potencialmente en una denegación de servicio
Vulnerabilidad en la funcionalidad repository mirroring en GitLab (CVE-2020-13309)
Gravedad:
MediaMedia
Publication date: 14/09/2020
Last modified:
21/09/2020
Descripción:
Se detectó una vulnerabilidad en GitLab versiones anteriores a 13.1.10, 13.2.8 y 13.3.4. GitLab era vulnerable a un ataque de tipo SSRF ciego por medio de la funcionalidad repository mirroring
Vulnerabilidad en la carga de un archivo DLL durante la instalación de productos LG Electronics (LGPCSuite_Setup, IPSFULLHD, LG_ULTRAWIDE, ULTRA_HD_Driver Setup) (CVE-2020-7807)
Gravedad:
BajaBaja
Publication date: 14/09/2020
Last modified:
21/09/2020
Descripción:
Una vulnerabilidad que puede secuestrar un archivo DLL que es cargado durante la instalación de productos (LGPCSuite_Setup, IPSFULLHD, LG_ULTRAWIDE, ULTRA_HD_Driver Setup) en un archivo DLL que el hacker desea. Un falta de soporte para la vulnerabilidad de comprobación de integridad en ____COMPONENT____ de LG Electronics (LGPCSuite_Setup), (IPSFULLHD, LG_ULTRAWIDE, ULTRA_HD_Driver Setup) permite a ____ ATTACKER / ATTACK ____ causar ____IMPACT____. Este problema afecta a: LG Electronics; LGPCSuite_Setup: versión 1.0.0.3 en Windows (x86, x64); IPSFULLHD, LG_ULTRAWIDE, ULTRA_HD_Driver Setup: versión 1.0.0.9 en Windows (x86, x64)
Vulnerabilidad en el envío de un comando de depuración por USB en los dispositivos móviles Samsung (chipsets Exynos y MediaTek) (CVE-2020-25280)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
21/09/2020
Descripción:
Se detectó un problema en los dispositivos móviles Samsung con versión de software Q(10.0) (chipsets Exynos y MediaTek). Los atacantes no autenticados pueden ejecutar comandos LTE/5G mediante el envío de un comando de depuración por USB. El ID de Samsung es SVE-2020-16979 (Septiembre de 2020)
Vulnerabilidad en un mensaje SETUP anormal en el componente baseband en los dispositivos móviles Samsung (chipsets Exynos) (CVE-2020-25279)
Gravedad:
AltaAlta
Publication date: 11/09/2020
Last modified:
21/09/2020
Descripción:
Se detectó un problema en los dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0) (chipsets Exynos). El componente baseband presenta un desbordamiento de búfer por medio de un mensaje SETUP anormal, lo que conlleva a una ejecución de código arbitrario. El ID de Samsung es SVE-2020-18098 (Septiembre de 2020)
Vulnerabilidad en los datos JPEG en la biblioteca de códecs de imágenes de Quram en dispositivos móviles Samsung (CVE-2020-25278)
Gravedad:
AltaAlta
Publication date: 11/09/2020
Last modified:
21/09/2020
Descripción:
Se detectó un problema en dispositivos móviles Samsung con versiones de software O(8.x), P(9.0) y Q(10.0). La biblioteca de códecs de imágenes de Quram permite a atacantes sobrescribir la memoria y ejecutar código arbitrario por medio de datos JPEG diseñados que se manejan inapropiadamente durante la decodificación. Los ID de Samsung son SVE-2020-18088, SVE-2020-18225, SVE-2020-18301 (Septiembre de 2020)
Vulnerabilidad en las tareas ejecutadas con el modo de verificación en module_args en Ansible Engine (CVE-2020-14332)
Gravedad:
BajaBaja
Publication date: 11/09/2020
Last modified:
21/09/2020
Descripción:
Se encontró un fallo en Ansible Engine al usar module_args. Las tareas ejecutadas con el modo de verificación (--check-mode) no neutralizan apropiadamente los datos confidenciales expuestos en los datos del evento. Este fallo permite a usuarios no autorizados leer estos datos. La mayor amenaza de esta vulnerabilidad es la confidencialidad
Vulnerabilidad en los componentes TLS de Microsoft (CVE-2020-1596)
Gravedad:
BajaBaja
Publication date: 11/09/2020
Last modified:
21/09/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando los componentes TLS utilizan algoritmos de hash débiles, también se conoce como "TLS Information Disclosure Vulnerability"

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el archivo libxml2/entity.c en la función xmlEncodeEntitiesInternal en un proyecto libxml2 de GNOME (CVE-2020-24977)
Gravedad:
MediaMedia
Publication date: 03/09/2020
Last modified:
19/10/2020
Descripción:
El proyecto de GNOME libxml2 v2.9.10 tiene una vulnerabilidad de sobre lectura del buffer global en xmlEncodeEntitiesInternal en libxml2/entities.c. El problema ha sido corregido en el commit 50f06b3e
Vulnerabilidad en la comprobación del certificado en X509_check_host en openfortivpn en OpenSSL (CVE-2020-7041)
Gravedad:
MediaMedia
Publication date: 27/02/2020
Last modified:
09/10/2020
Descripción:
Se detectó un problema en openfortivpn versión 1.11.0, cuando se usaba con OpenSSL versiones 1.0.2 o posteriores, el archivo tunnel.c maneja inapropiadamente la comprobación del certificado porque un código de error negativo de X509_check_host se interpreta como un valor de retorno exitoso.
Vulnerabilidad en los caracteres "\0" en el archivo tunnel.c en openfortivpn con OpenSSL (CVE-2020-7043)
Gravedad:
MediaMedia
Publication date: 27/02/2020
Last modified:
09/10/2020
Descripción:
Se detectó un problema en openfortivpn versión 1.11.0, cuando se usaba con OpenSSL versiones anteriores a 1.0.2. en el archivo tunnel.c maneja inapropiadamente la comprobación del certificado porque las comparaciones hostname no consideran los caracteres "\0", como es demostrado por un ataque de good.example.com\x00evil.example.com.
Vulnerabilidad en la comprobación del certificado en el archivo tunnel.c n openfortivpn en OpenSSL (CVE-2020-7042)
Gravedad:
MediaMedia
Publication date: 27/02/2020
Last modified:
09/10/2020
Descripción:
Se detectó un problema en openfortivpn versión 1.11.0, cuando se usaba con OpenSSL versiones 1.0.2 o posteriores, en el archivo tunnel.c, maneja inapropiadamente la comprobación del certificado porque la verificación del nombre de host funciona en la memoria no inicializada. El resultado es que un certificado válido nunca es aceptado (solo puede ser aceptado un certificado malformado).