Boletín de vulnerabilidades
Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:
Vulnerabilidad en la exposición de un recurso en Philips Clinical Collaboration Platform (CVE-2020-16247)
Gravedad:
Baja
Publication date: 18/09/2020
Last modified:
25/04/2022
Descripción:
Philips Clinical Collaboration Platform, versiones 12.2.1 y anteriores. El producto expone un recurso a la esfera de control incorrecta, proporcionando a los actores no deseados un acceso inapropiado al recurso
Vulnerabilidad en la asignación y el mantenimiento de un recurso limitado en Philips Clinical Collaboration Platform (CVE-2020-16200)
Gravedad:
Baja
Publication date: 18/09/2020
Last modified:
25/09/2020
Descripción:
Philips Clinical Collaboration Platform, versiones 12.2.1 y anteriores. El software no controla apropiadamente la asignación y el mantenimiento de un recurso limitado, lo que permite a un atacante influir en la cantidad de recursos consumidos, conllevando eventualmente al agotamiento de los recursos disponibles
Vulnerabilidad en una reclamación de identidad dada en Philips Clinical Collaboration Platform (CVE-2020-16198)
Gravedad:
Media
Publication date: 18/09/2020
Last modified:
25/09/2020
Descripción:
Philips Clinical Collaboration Platform, versiones 12.2.1 y anteriores. Cuando un atacante reclama tener una identidad dada, el software no prueba o prueba insuficientemente que la reclamación sea correcta
Vulnerabilidad en la neutralización de una entrada controlada por el usuario en Philips Clinical Collaboration Platform (CVE-2020-14525)
Gravedad:
Baja
Publication date: 18/09/2020
Last modified:
25/09/2020
Descripción:
Philips Clinical Collaboration Platform, versiones 12.2.1 y anteriores. El software no neutraliza o neutraliza incorrectamente una entrada controlada por el usuario antes de que sea colocada en la salida usada como una página web que es servida a otros usuarios
Vulnerabilidad en la comprobación de la propiedades de la entrada en Philips Clinical Collaboration Platform (CVE-2020-14506)
Gravedad:
Media
Publication date: 18/09/2020
Last modified:
25/09/2020
Descripción:
Philips Clinical Collaboration Platform, versiones 12.2.1 y anteriores. El producto recibe entrada o datos, pero no comprueba o comprueba incorrectamente que la entrada cuenta con las propiedades requeridas para procesar los datos de manera segura y correcta
Vulnerabilidad en una página o archivo en Adobe Media Encoder (CVE-2020-9744)
Gravedad:
Media
Publication date: 18/09/2020
Last modified:
25/09/2020
Descripción:
Adobe Media Encoder versión 14.3.2 (y versiones anteriores), se presenta una vulnerabilidad de lectura fuera de límites que podría ser explotado para leer más allá del final de un búfer asignado, resultando posiblemente en un bloqueo o una divulgación de información confidencial de otras ubicaciones de memoria. Es requerida una interacción del usuario para explotar está vulnerabilidad en que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso
Vulnerabilidad en una página o archivo en Adobe Media Encoder (CVE-2020-9745)
Gravedad:
Media
Publication date: 18/09/2020
Last modified:
25/09/2020
Descripción:
Adobe Media Encoder versión 14.3.2 (y versiones anteriores), se presenta una vulnerabilidad de lectura fuera de límites que podría ser explotada para leer más allá del final de un búfer asignado, resultando posiblemente en un bloqueo o una divulgación de información confidencial de otras ubicaciones de memoria. Es requerida una interacción del usuario para explotar está vulnerabilidad en que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso
Vulnerabilidad en una página o archivo en Adobe Media Encoder (CVE-2020-9739)
Gravedad:
Media
Publication date: 18/09/2020
Last modified:
25/09/2020
Descripción:
Adobe Media Encoder versión 14.3.2 (y versiones anteriores), se presenta una vulnerabilidad de lectura fuera de límites que podría ser explotado para leer más allá del final de un búfer asignado, resultando posiblemente en un bloqueo o una divulgación de información confidencial de otras ubicaciones de memoria. Es requerida una interacción del usuario para explotar está vulnerabilidad en que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso
Vulnerabilidad en SaferVPN (CVE-2020-25744)
Gravedad:
Media
Publication date: 18/09/2020
Last modified:
25/09/2020
Descripción:
SaferVPN anterior a la versión 5.0.3.3 en Windows podría permitir a los usuarios con pocos privilegios crear o sobrescribir archivos arbitrarios, lo que podría causar una condición de denegación de servicio (DoS), porque se sigue un enlace simbólico de %LOCALAPPDATA%\SaferVPN\Log
Vulnerabilidad en un archivo "Chart.yaml" en un gráfico en el campo "alias" en Helm (CVE-2020-15184)
Gravedad:
Media
Publication date: 17/09/2020
Last modified:
18/11/2021
Descripción:
En Helm versiones anteriores a 2.16.11 y 3.3.2, se presenta un error en el que el campo "alias" en un archivo "Chart.yaml" no es saneado apropiadamente. Esto podría conllevar a la inyección de información no deseada en un gráfico. Este problema ha sido corregido en Helm versiones 3.3.2 y 2.16.11. Una posible solución es revisar manualmente que el campo "dependencies" de cualquier gráfico no sea de confianza, verificando que el campo "alias" no sea usado o (si se utiliza) no contenga nuevas líneas o caracteres de ruta
Vulnerabilidad en el cambio de contraseña en el add-on Reset Password para Alfresco (CVE-2020-25728)
Gravedad:
Media
Publication date: 17/09/2020
Last modified:
25/09/2020
Descripción:
El add-on Reset Password versiones anteriores a 1.2.0 para Alfresco, presenta un algoritmo roto (que implica un incremento) que permite a un usuario malicioso cambiar la contraseña de la cuenta de cualquier usuario, incluyendo la cuenta de administrador
Vulnerabilidad en verificación de firmas criptográficas en el demonio del agente de Sqreen PHP (CVE-2020-25490)
Gravedad:
Alta
Publication date: 17/09/2020
Last modified:
25/09/2020
Descripción:
Una falta de verificación de firmas criptográficas en el demonio del agente de Sqreen PHP versiones anteriores a 1.16.0, facilita a los atacantes remotos inyectar reglas para su ejecución dentro de la máquina virtual
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
Vulnerabilidad en una página HTML en iOSWeb en Google Chrome en iOS (CVE-2020-6558)
Gravedad:
Media
Publication date: 21/09/2020
Last modified:
28/04/2022
Descripción:
Una aplicación insuficiente de la política en iOSWeb en Google Chrome en iOS versiones anteriores a 85.0.4183.83, permitía a un atacante remoto omitir restricciones de navegación por medio de una página HTML diseñada
Vulnerabilidad en una página HTML en media en Google Chrome (CVE-2020-6547)
Gravedad:
Media
Publication date: 21/09/2020
Last modified:
21/07/2021
Descripción:
La Interfaz de Usuario de seguridad incorrecta en media en Google Chrome versiones anteriores a 84.0.4147.125, permitía a un atacante remoto obtener potencialmente información confidencial por medio de una página HTML diseñada
Vulnerabilidad en la implementación de InlineArray en el crate sized-chunks para Rust (CVE-2020-25796)
Gravedad:
Media
Publication date: 19/09/2020
Last modified:
12/01/2021
Descripción:
Se detectó un problema en el crate sized-chunks versiones hasta 0.6.2 para Rust. En la implementación de InlineArray, una referencia no alineada puede ser generada para un tipo que posee un gran requisito de alineación
Vulnerabilidad en la implementación de Chunk en el crate sized-chunks para Rust (CVE-2020-25795)
Gravedad:
Media
Publication date: 19/09/2020
Last modified:
12/01/2021
Descripción:
Se detectó un problema en el crate sized-chunks versiones hasta 0.6.2 para Rust. En la implementación de Chunk, insert_from puede presentar un problema de seguridad de memoria en caso de pánico
Vulnerabilidad en From(InlineArray(A, T )) en la implementación de Chunk en el crate sized-chunks para Rust (CVE-2020-25793)
Gravedad:
Media
Publication date: 19/09/2020
Last modified:
12/01/2021
Descripción:
Se detectó un problema en el crate sized-chunks versiones hasta 0.6.2 para Rust. En la implementación de Chunk, el tamaño de la matriz no es comprobado cuando se construye con From(InlineArray(A, T ))
Vulnerabilidad en el componente network test en NVIDIA GeForce NOW para (Windows, macOS) y (Android, Shield TV) (CVE-2020-5976)
Gravedad:
Media
Publication date: 18/09/2020
Last modified:
08/09/2021
Descripción:
NVIDIA GeForce NOW, versiones anteriores a 2.0.23 (Windows, macOS) y versiones anteriores a 5.31 (Android, Shield TV), contiene una vulnerabilidad en el software de la aplicación en donde el componente network test transmite información confidencial de forma no segura, lo que puede conllevar a una divulgación de información
Vulnerabilidad en una URL en la aplicación de escritorio en NVIDIA GeForce NOW en Windows y macOS (CVE-2020-5975)
Gravedad:
Media
Publication date: 18/09/2020
Last modified:
08/09/2021
Descripción:
NVIDIA GeForce NOW, versiones anteriores a 2.0.23 en Windows y macOS, contiene una vulnerabilidad en el software de la aplicación de escritorio que incluye información confidencial como parte de una URL, lo que puede conllevar a una divulgación de información
Vulnerabilidad en el campo email input en el add-on Reset Password para Alfresco (CVE-2020-25727)
Gravedad:
Media
Publication date: 17/09/2020
Last modified:
20/01/2021
Descripción:
El add-on Reset Password versiones anteriores a 1.2.0 para Alfresco, sufre de Inyección CMIS-SQL, que permite a un usuario malicioso inyectar una consulta dentro del campo email input
Vulnerabilidad en la carga de un documento en la funcionalidad de renderizado de Nitro Pro de Nitro Software, Inc (CVE-2020-6116)
Gravedad:
Media
Publication date: 17/09/2020
Last modified:
12/05/2022
Descripción:
Se presenta una vulnerabilidad de ejecución de código arbitraria en la funcionalidad de renderizado de Nitro Pro de Nitro Software, Inc versión 13.13.2.242. Al dibujar el contenido de una página usando colores de un espacio de color indexado, la aplicación puede calcular inapropiadamente el tamaño de un búfer al asignar espacio para sus colores. Cuando usa este búfer asignado, la aplicación puede escribir fuera de sus límites y causar una corrupción de la memoria, lo que puede conllevar a una ejecución de código. La víctima debe cargar un documento especialmente diseñado para desencadenar esta vulnerabilidad
Vulnerabilidad en la funcionalidad cross-reference table repairing de Nitro Pro de Nitro Software, Inc (CVE-2020-6115)
Gravedad:
Media
Publication date: 17/09/2020
Last modified:
12/05/2022
Descripción:
Se presenta una vulnerabilidad explotable en la funcionalidad cross-reference table repairing de Nitro Pro de Nitro Software, Inc versión 13.13.2.242. Mientras busca un identificador de objeto en un documento malformado que se encuentra en la tabla de referencias cruzadas, la aplicación guardará una referencia a la entrada de la tabla de referencias cruzadas del objeto dentro de una variable de pila. Si no se encuentra el identificador del objeto al que se hace referencia, la aplicación puede cambiar el tamaño de la tabla de referencias cruzadas, lo que puede cambiar el alcance de su entrada. Más tarde, cuando la aplicación intenta hacer referencia a una entrada de referencia cruzada por medio de la variable de pila, la aplicación accederá a la memoria que pertenece a la tabla liberada recientemente, causando una condición de uso de la memoria previamente liberada. Un atacante puede entregar un documento especialmente diseñado y cargado por una víctima para desencadenar esta vulnerabilidad
Vulnerabilidad en la funcionalidad object stream parsing de Nitro Pro de Nitro Software, Inc (CVE-2020-6113)
Gravedad:
Media
Publication date: 17/09/2020
Last modified:
12/05/2022
Descripción:
Se presenta una vulnerabilidad explotable en la funcionalidad object stream parsing de Nitro Pro de Nitro Software, Inc versión 13.13.2.242 cuando actualiza su tabla de referencias cruzadas. Cuando procesan un flujo de objetos de un documento PDF, la aplicación realizará un cálculo para asignar memoria para la lista de objetos indirectos. Debido a un error cuando se calcula este tamaño, puede ocurrir un desbordamiento de enteros que puede resultar en la asignación de un búfer de tamaño insuficiente. Más tarde, al inicializar este búfer, la aplicación puede escribir fuera de sus límites, que puede causar una corrupción de la memoria conllevando a la ejecución de código. Un documento especialmente diseñado puede ser entregado a una víctima a fin de activar esta vulnerabilidad
Vulnerabilidad en la funcionalidad JPEG2000 Stripe Decoding de Nitro Pro de Nitro Software, Inc (CVE-2020-6112)
Gravedad:
Media
Publication date: 17/09/2020
Last modified:
12/05/2022
Descripción:
Se presenta una vulnerabilidad de ejecución de código explotable en la funcionalidad JPEG2000 Stripe Decoding de Nitro Pro de Nitro Software, Inc versión 13.13.2.242 cuando se decodifican las submuestras. Al inicializar mosaicos con datos de la submuestra, la aplicación puede calcular mal un puntero para las franjas en el mosaico, lo que permite que el decodificador escriba fuera de los límites y cause una corrupción de la memoria. Esto puede resultar en una ejecución de código. Una imagen especialmente diseñada puede insertarse dentro de un PDF y cargada por una víctima para desencadenar esta vulnerabilidad
Vulnerabilidad en dsmtca en IBM Tivoli Storage Manager (CVE-2014-6184)
Gravedad:
Alta
Publication date: 21/02/2015
Last modified:
08/09/2021
Descripción:
Desbordamiento de buffer basado en pila en dsmtca en el cliente en IBM Tivoli Storage Manager (TSM) 5.4 hasta 5.4.3.6, 5.5 hasta 5.5.4.3, 6.1 hasta 6.1.5.6, 6.2 anterior a 6.2.5.4, y 6.3 anterior a 6.3.2.3 en UNIX, Linux, y OS X permite a usuarios locales ganar privilegios a través de vectores no especificados.