Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en /ajax/device_entities.php?entity_type=netscalervsvr&device_id[]= en el archivo /ajax/device_entities.php en Observium Professional, Enterprise & Community (CVE-2020-25143)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a una inyección SQL debido al hecho de que es posible inyectar sentencias SQL maliciosas en tipos de parámetros malformados. Esto puede ocurrir mediante /ajax/device_entities.php?entity_type=netscalervsvr&device_id[]= debido al archivo /ajax/device_entities.php
Vulnerabilidad en los URI /apps/?app=../ en Observium Professional, Enterprise & Community (CVE-2020-25144)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable al salto de directorio y a la inclusión de archivos local debido al hecho de que existe una posibilidad irrestricta de cargar cualquier archivo con una extensión inc.php. La inclusión de otros archivos (aunque se limite a la extensión mencionada) puede conducir a una ejecución de código remota. Esto puede ocurrir mediante los URI /apps/?app=../
Vulnerabilidad en los URI /device/device=345/?tab=ports&view=../ en el archivo device/port.inc.php en Observium Professional, Enterprise & Community (CVE-2020-25145)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable al salto de directorio y a la inclusión de archivos local debido al hecho de que existe una posibilidad irrestricta de cargar cualquier archivo con una extensión inc.php. La inclusión de otros archivos (aunque se limite a la extensión mencionada) puede conducir a una ejecución de código remota. Esto puede ocurrir mediante los URI /device/device=345/?tab=ports&view=../ debido al archivo device/port.inc.php
Vulnerabilidad en la_id en el URI /syslog_rules en la función edit_syslog_rule en Observium Professional, Enterprise & Community (CVE-2020-25146)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a un ataque de tipo Cross-Site Scripting (XSS) debido al hecho de que es posible inyectar y almacenar código JavaScript malicioso en su interior. Esto puede ocurrir mediante la_id en el URI /syslog_rules para la función edit_syslog_rule
Vulnerabilidad en el username[0] en el URI predeterminado en el archivo includes/authenticate.inc.php en Observium Professional, Enterprise & Community (CVE-2020-25147)
Gravedad:
AltaAlta
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a una inyección SQL debido al hecho de que es posible inyectar sentencias SQL maliciosas en tipos de parámetros malformados. Esto puede ocurrir mediante el username[0] en el URI predeterminado, debido al archivo includes/authenticate.inc.php
Vulnerabilidad en /iftype/type= en el archivo pages/iftype.inc.php en Observium Professional, Enterprise & Community (CVE-2020-25148)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a un ataque de tipo Cross-Site Scripting (XSS) debido al hecho de que es posible inyectar y almacenar código JavaScript malicioso en su interior. Esto puede ocurrir mediante /iftype/type= debido al archivo pages/iftype.inc.php
Vulnerabilidad en /device/device=345/?tab=health&metric=../ en el archivo device/health.inc.php en Observium Professional, Enterprise & Community (CVE-2020-25149)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable al salto de directorio y a la inclusión de archivos local debido al hecho de que existe una posibilidad irrestricta de cargar cualquier archivo con una extensión inc.php. La inclusión de otros archivos (aunque se limite a la extensión mencionada) puede conducir a una ejecución de código remota. Esto puede ocurrir mediante /device/device=345/?tab=health&metric=../ debido al archivo device/health.inc.php
Vulnerabilidad en el parámetro alert_name o alert_message en el URI /alert_check en Observium Professional, Enterprise & Community (CVE-2020-25137)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a un ataque de tipo Cross-Site Scripting (XSS) debido al hecho de que es posible inyectar y almacenar código JavaScript malicioso en su interior. Esto puede ocurrir mediante el parámetro alert_name o alert_message del URI /alert_check
Vulnerabilidad en /alert_check/action=delete_alert_checker/alert_test_id= en el archivo pages/alert_check.inc.php en Observium Professional, Enterprise & Community (CVE-2020-25138)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a un ataque de tipo Cross-Site Scripting (XSS) debido al hecho de que es posible inyectar y almacenar código JavaScript malicioso en su interior. Esto puede ocurrir mediante /alert_check/action=delete_alert_checker/alert_test_id= debido al archivo pages/alert_check.inc.php
Vulnerabilidad en los URI /device/device=345/?tab=routing&proto=../ en el archivo device/routing.inc.php en Observium Professional, Enterprise & Community (CVE-2020-25136)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a un salto de directorio y a la inclusión de archivos local debido al hecho de que se presenta una posibilidad irrestricta de cargar cualquier archivo con una extensión inc.php. La inclusión de otros archivos (aunque se limite a la extensión mencionada) puede conllevar a una ejecución de código remota. Esto puede ocurrir mediante los URI /device/device=345/?tab=routing&proto=../ en el archivo device/routing.inc.php
Vulnerabilidad en el encabezado Cookie en el URI predeterminado en el archivo includes/authenticate.inc.php en Observium Professional, Enterprise & Community (CVE-2020-25132)
Gravedad:
AltaAlta
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a una inyección SQL debido al hecho de que es posible inyectar sentencias SQL maliciosas en tipos de parámetros malformados. Al enviar la Matriz tipo variable inapropiada permite omitir el saneamiento de la inyección SQL principal. Los usuarios son capaces de inyectar sentencias maliciosas en múltiples funciones. Esta vulnerabilidad conlleva a una omisión total de la autenticación: cualquier usuario no autorizado con acceso a la aplicación es capaz de explotar esta vulnerabilidad. Esto puede ocurrir mediante el encabezado Cookie en el URI predeterminado, dentro del archivo includes/authenticate.inc.php
Vulnerabilidad en los URI /ports/?format=../ en el archivo pages/ports.inc.php en Observium Professional, Enterprise & Community (CVE-2020-25133)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a un salto de directorio y a la inclusión de archivos local debido al hecho de que se presenta una posibilidad irrestricta de cargar cualquier archivo con una extensión inc.php. La inclusión de otros archivos (aunque se limite a la extensión mencionada) puede conllevar a una ejecución de código remota. Esto puede ocurrir mediante los URI /ports/?format=../ en el archivo pages/ports.inc.php
Vulnerabilidad en los URI /settings/?format=../ en el archivo pages/settings.inc.php en Observium Professional, Enterprise & Community (CVE-2020-25134)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a un salto de directorio y a la inclusión de archivos local debido al hecho de que se presenta una posibilidad irrestricta de cargar cualquier archivo con una extensión inc.php. La inclusión de otros archivos (aunque se limite a la extensión mencionada) puede conllevar a una ejecución de código remota. Esto puede ocurrir mediante los URI /settings/?format=../ en el archivo pages/settings.inc.php
Vulnerabilidad en el parámetro graph_title en el URI graphs/ en Observium Professional, Enterprise & Community (CVE-2020-25135)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a un ataque de tipo Cross-Site Scripting (XSS) debido al hecho de que es posible inyectar y almacenar código JavaScript malicioso en su interior. Esto puede ocurrir mediante el parámetro graph_title en el URI graphs/
Vulnerabilidad en el campo group_id del archivo ajax/actions.php en la base de datos en Observium Professional, Enterprise & Community (CVE-2020-25130)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a una inyección SQL debido al hecho de que es posible inyectar sentencias SQL maliciosas en tipos de parámetros malformados. Al enviar la Matriz tipo variable inapropiada permite omitir el saneamiento de la Inyección SQL principal. Los usuarios autenticados son capaces de inyectar consultas SQL maliciosas. Esta vulnerabilidad conlleva a un filtrado completo de la base de datos, incluyendo ckeys que pueden ser usadas en el proceso de autenticación sin conocer el nombre de usuario y la contraseña en texto sin cifrar. Esto puede ocurrir mediante el campo group_id del archivo ajax/actions.php
Vulnerabilidad en el parámetro role_name o role_descr en el URI roles/ en Observium Professional, Enterprise & Community (CVE-2020-25131)
Gravedad:
MediaMedia
Publication date: 25/09/2020
Last modified:
29/09/2020
Descripción:
Se detectó un problema en Observium Professional, Enterprise & Community versión 20.8.10631. Es vulnerable a un ataque de tipo Cross-Site Scripting (XSS) debido al hecho de que es posible inyectar y almacenar código JavaScript malicioso en su interior. Esto puede ocurrir mediante el parámetro role_name o role_descr en el URI roles/

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: