Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los archivos certs/blacklist.c y certs/system_keyring.c. en el mecanismo de protección Secure Boot Forbidden Signature Database en el kernel de Linux (CVE-2020-26541)
Gravedad:
MediaMedia
Publication date: 02/10/2020
Last modified:
04/10/2020
Descripción:
El kernel de Linux versiones hasta 5.8.13, no aplica apropiadamente el mecanismo de protección Secure Boot Forbidden Signature Database (también se conoce como dbx). Esto afecta a los archivos certs/blacklist.c y certs/system_keyring.c
Vulnerabilidad en una ejecución JavaScript de AcroForm en las funciones Field::ClearItems y Field::DeleteOptions en el objeto Opt en Foxit Reader y PhantomPDF (CVE-2020-26534)
Gravedad:
AltaAlta
Publication date: 02/10/2020
Last modified:
04/10/2020
Descripción:
Se detectó un problema en Foxit Reader y PhantomPDF versiones anteriores a 10.1. Existe un uso de la memoria previamente liberada del objeto Opt relacionado con las funciones Field::ClearItems y Field::DeleteOptions, durante una ejecución JavaScript de AcroForm
Vulnerabilidad en V8 en TslAlloc en Foxit Reader y PhantomPDF (CVE-2020-26535)
Gravedad:
AltaAlta
Publication date: 02/10/2020
Last modified:
04/10/2020
Descripción:
Se detectó un problema en Foxit Reader y PhantomPDF versiones anteriores a 10.1. Si TslAlloc intenta asignar el almacenamiento local de hilos (subprocesos) pero obtiene un valor de índice inaceptable, V8 lanza una excepción que conlleva a una violación de acceso de escritura (y una violación de acceso de lectura)
Vulnerabilidad en un determinado cálculo de Shading en Foxit Reader y PhantomPDF (CVE-2020-26537)
Gravedad:
AltaAlta
Publication date: 02/10/2020
Last modified:
04/10/2020
Descripción:
Se detectó un problema en Foxit Reader y PhantomPDF versiones anteriores a 10.1. En un determinado cálculo de Shading, el número de salidas es desigual al número de componentes de color en un espacio de color. Esto causa una escritura fuera de límites
Vulnerabilidad en un error de interpretación múltiple para /V (en los diccionarios de Additional Action y Field) en Foxit Reader y PhantomPDF (CVE-2020-26539)
Gravedad:
AltaAlta
Publication date: 02/10/2020
Last modified:
04/10/2020
Descripción:
Se detectó un problema en Foxit Reader y PhantomPDF versiones anteriores a 10.1. Cuando se presenta un error de interpretación múltiple para /V (en los diccionarios de Additional Action y Field), puede ocurrir un uso de la memoria previamente liberada con una ejecución de código remoto resultante (o un filtrado de información)
Vulnerabilidad en el mecanismo de protección Hardened Runtime en Foxit Reader y PhantomPDF en macOS (CVE-2020-26540)
Gravedad:
MediaMedia
Publication date: 02/10/2020
Last modified:
04/10/2020
Descripción:
Se detectó un problema en Foxit Reader y PhantomPDF versiones anteriores a 4.1 en macOS. Debido a que el mecanismo de protección Hardened Runtime no es aplicado a la firma de código, una inyección de código (o un filtrado de información) puede ocurrir
Vulnerabilidad en un documento PDF en Foxit Reader y PhantomPDF (CVE-2020-26536)
Gravedad:
MediaMedia
Publication date: 02/10/2020
Last modified:
02/10/2020
Descripción:
Se detectó un problema en Foxit Reader y PhantomPDF versiones anteriores a 10.1. Se presenta una desreferencia del puntero NULL por medio de un documento PDF diseñado
Vulnerabilidad en un contenido pegado en Froala Editor (CVE-2020-26523)
Gravedad:
MediaMedia
Publication date: 02/10/2020
Last modified:
02/10/2020
Descripción:
Froala Editor versiones anteriores a 3.2.2, permite un ataque de tipo XSS por medio de un contenido pegado

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en credenciales predeterminadas en Hyland OnBase (CVE-2020-25252)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
15/09/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta la 18.0.0.32 y versiones 19.x hasta 19.8.9.1000. Una vulnerabilidad de tipo CSRF puede ser usada para iniciar la sesión de un usuario y luego realizar acciones, porque existen credenciales predeterminadas (la contraseña wstinol para la cuenta de administrador o hsi)
Vulnerabilidad en una deserialización JSON en Hyland OnBase (CVE-2020-25260)
Gravedad:
AltaAlta
Publication date: 11/09/2020
Last modified:
15/09/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta la 18.0.0.32 y versiones 19.x hasta 19.8.9.1000. Permite a atacantes remotos ejecutar código arbitrario debido a una deserialización JSON no segura
Vulnerabilidad en bibliotecas de deserialización XML en Hyland OnBase (CVE-2020-25259)
Gravedad:
AltaAlta
Publication date: 11/09/2020
Last modified:
15/09/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta la 18.0.0.32 y versiones 19.x hasta 19.8.9.1000. Utiliza bibliotecas de deserialización XML de forma no segura
Vulnerabilidad en BinaryFormatter.Deserialize de ASP.NET en Hyland OnBase (CVE-2020-25258)
Gravedad:
AltaAlta
Publication date: 11/09/2020
Last modified:
15/09/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta la 18.0.0.32 y versiones 19.x hasta 19.8.9.1000. Utiliza BinaryFormatter.Deserialize de ASP.NET de una manera que permite a atacantes transmitir y ejecutar bytecode en mensajes SOAP
Vulnerabilidad en un acceso de lectura/escritura a archivos en Hyland OnBase (CVE-2020-25257)
Gravedad:
AltaAlta
Publication date: 11/09/2020
Last modified:
11/09/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta la 18.0.0.32 y versiones 19.x hasta 19.8.9.1000. Permite ataques de tipo XXE para un acceso de lectura/escritura a archivos arbitrarios
Vulnerabilidad en una clave privada en los certificados PKI en Hyland OnBase (CVE-2020-25256)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
15/09/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta la 18.0.0.32 y versiones 19.x hasta 19.8.9.1000. Los certificados PKI tienen una clave privada que es la misma en las instalaciones de diferentes clientes
Vulnerabilidad en un ID de usuario en Hyland OnBase (CVE-2020-25255)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
15/09/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta la 18.0.0.32 y versiones 19.x hasta 19.8.9.1000. Permite a atacantes remotos causar una denegación de servicio (interrupción del procesamiento de peticiones de conexión) por medio de un ID de usuario largo, lo que desencadena una excepción y una entrada de registro grande
Vulnerabilidad en la función TestConnection_LocalOrLinkedServer, CreateFilterFriendlyView o AddWorkViewLinkedServer en Hyland OnBase (CVE-2020-25254)
Gravedad:
AltaAlta
Publication date: 11/09/2020
Last modified:
06/10/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta la 18.0.0.32 y versiones 19.x hasta 19.8.9.1000. Permite una inyección SQL, como es demostrado por las funciones TestConnection_LocalOrLinkedServer, CreateFilterFriendlyView o AddWorkViewLinkedServer
Vulnerabilidad en el parámetro TableName, ColumnName, Name, UserId o Password en Hyland OnBase (CVE-2020-25253)
Gravedad:
AltaAlta
Publication date: 11/09/2020
Last modified:
15/09/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta 18.0.0.32. Permite una inyección SQL, como es demostrado por el parámetro TableName, ColumnName, Name, UserId o Password
Vulnerabilidad en la autenticación del lado del cliente en funciones criticas en Hyland OnBase (CVE-2020-25251)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
15/09/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta la 18.0.0.32 y versiones 19.x hasta 19.8.9.1000. Una autenticación del lado del cliente se utiliza para funciones críticas como agregar usuarios o recuperar información confidencial
Vulnerabilidad en las aplicaciones cliente en Hyland OnBase (CVE-2020-25250)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
11/09/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta la 18.0.0.32 y versiones 19.x hasta 19.8.9.1000. Las aplicaciones cliente pueden escribir datos arbitrarios en los registros del servidor
Vulnerabilidad en el registro de una aplicación cliente en el servidor en Hyland OnBase (CVE-2020-25249)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
15/09/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta la 18.0.0.32 y versiones 19.x hasta 19.8.9.1000. El servidor normalmente registra la actividad solo cuando una aplicación cliente especifica que se registra es deseada. Esto puede ser problemático para casos de uso en una industria regulada, donde se requiere el registro del lado del servidor en situaciones adicionales
Vulnerabilidad en el parámetro FileName en Hyland OnBase (CVE-2020-25248)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
06/10/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta la 18.0.0.32 y versiones 19.x hasta 19.8.9.1000. Se presenta un salto de directorio para leer archivos, como es demostrado por el parámetro FileName
Vulnerabilidad en el parámetro FileName en Hyland OnBase (CVE-2020-25247)
Gravedad:
MediaMedia
Publication date: 11/09/2020
Last modified:
06/10/2020
Descripción:
Se detectó un problema en Hyland OnBase versiones hasta la 18.0.0.32 y versiones 19.x hasta 19.8.9.1000. Se presenta un salto de directorio para escribir en archivos, como es demostrado por el parámetro FileName
Vulnerabilidad en archivos tmp/ en StateSaver de Ubuntu UI Toolkit (CVE-2014-1420)
Gravedad:
BajaBaja
Publication date: 10/09/2020
Last modified:
16/09/2020
Descripción:
En escritorio, StateSaver de Ubuntu UI Toolkit serializaría datos en archivos tmp/ que un atacante podría usar para exponer datos potencialmente confidenciales. StateSaver también abriría archivos sin el indicador O_EXCL. Un atacante podría explotar esto para iniciar un ataque de enlace simbólico, aunque esto está parcialmente mitigado por las restricciones de enlaces simbólicos y físicos en Ubuntu. Corregido en versiones 1.1.1188 +14.10.20140813.4-0ubuntu1
Vulnerabilidad en archivos PHAR con la extensión phar en la función phar_parse_zipfile en PHP (CVE-2020-7068)
Gravedad:
BajaBaja
Publication date: 09/09/2020
Last modified:
02/10/2020
Descripción:
En PHP versiones 7.2.x por debajo de 7.2.33, 7.3.x por debajo de 7.3.21 y 7.4.x por debajo de 7.4.9, mientras se procesan archivos PHAR con la extensión phar, la función phar_parse_zipfile podría ser engañada para que acceda a la memoria liberada, lo que podría conllevar a un bloqueo o una divulgación de información
Vulnerabilidad en el archivo application/modules/admin/views/ecommerce/publish.php en Ecommerce-CodeIgniter-Bootstrap (CVE-2020-25090)
Gravedad:
MediaMedia
Publication date: 03/09/2020
Last modified:
03/09/2020
Descripción:
Ecommerce-CodeIgniter-Bootstrap antes del 03-08-2020, permite un ataque de tipo XSS en el archivo application/modules/admin/views/ecommerce/publish.php
Vulnerabilidad en el archivo application/modules/admin/views/blog/blogpublish.php en Ecommerce-CodeIgniter-Bootstrap (CVE-2020-25088)
Gravedad:
MediaMedia
Publication date: 03/09/2020
Last modified:
03/09/2020
Descripción:
Ecommerce-CodeIgniter-Bootstrap antes del 03-08-2020, permite un ataque de tipo XSS en el archivo application/modules/admin/views/blog/blogpublish.php
Vulnerabilidad en el archivo application/modules/vendor/views/add_product.php en Ecommerce-CodeIgniter-Bootstrap (CVE-2020-25091)
Gravedad:
MediaMedia
Publication date: 03/09/2020
Last modified:
03/09/2020
Descripción:
Ecommerce-CodeIgniter-Bootstrap antes del 03-08-2020, permite un ataque de tipo XSS en el archivo application/modules/vendor/views/add_product.php
Vulnerabilidad en el archivo _parts/header.php en application/views/templates/clothesshop, application/views/templates/greenlabel, y application/views/templates/redlabel en Ecommerce-CodeIgniter-Bootstrap (CVE-2020-25092)
Gravedad:
MediaMedia
Publication date: 03/09/2020
Last modified:
03/09/2020
Descripción:
Ecommerce-CodeIgniter-Bootstrap antes del 03-08-2020, permite un ataque de tipo XSS en el archivo _parts/header.php, dentro de application/views/templates/clothesshop, application/views/templates/greenlabel, y application/views/templates/redlabel
Vulnerabilidad en el archivo blog.php en application/views/templates/clothesshop, application/views/templates/onepage, y application/views/templates/redlabel en Ecommerce-CodeIgniter-Bootstrap (CVE-2020-25093)
Gravedad:
MediaMedia
Publication date: 03/09/2020
Last modified:
03/09/2020
Descripción:
Ecommerce-CodeIgniter-Bootstrap antes del 03-08-2020, permite un ataque de tipo XSS en el archivo blog.php. dentro application/views/templates/clothesshop, application/views/templates/onepage, y application/views/templates/redlabel
Vulnerabilidad en el archivo application/modules/admin/views/advanced_settings/adminUsers.php en Ecommerce-CodeIgniter-Bootstrap (CVE-2020-25086)
Gravedad:
MediaMedia
Publication date: 03/09/2020
Last modified:
03/09/2020
Descripción:
Ecommerce-CodeIgniter-Bootstrap antes del 03-08-2020, permite un ataque de tipo XSS en el archivo application/modules/admin/views/advanced_settings/adminUsers.php
Vulnerabilidad en el archivo application/modules/admin/views/advanced_settings/languages.php en Ecommerce-CodeIgniter-Bootstrap (CVE-2020-25087)
Gravedad:
MediaMedia
Publication date: 03/09/2020
Last modified:
03/09/2020
Descripción:
Ecommerce-CodeIgniter-Bootstrap antes del 03-08-2020, permite un ataque de tipo XSS en el archivo application/modules/admin/views/advanced_settings/languages.php
Vulnerabilidad en el archivo application/modules/admin/views/ecommerce/discounts.php en Ecommerce-CodeIgniter-Bootstrap (CVE-2020-25089)
Gravedad:
MediaMedia
Publication date: 03/09/2020
Last modified:
03/09/2020
Descripción:
Ecommerce-CodeIgniter-Bootstrap antes del 03-08-2020, permite un ataque de tipo XSS en el archivo application/modules/admin/views/ecommerce/discounts.php
Vulnerabilidad en un valor de encabezado en Zoho ManageEngine Desktop Central (CVE-2020-15588)
Gravedad:
AltaAlta
Publication date: 29/07/2020
Last modified:
02/10/2020
Descripción:
Se detectó un problema en el lado del cliente de Zoho ManageEngine Desktop Central versión 10.0.552.W. Un servidor controlado por un atacante puede desencadenar un desbordamiento de enteros en InternetSendRequestEx e InternetSendRequestByBitrate que lleva a un desbordamiento de búfer basado en heap y a la ejecución remota de código con privilegios de SISTEMA
Vulnerabilidad en la función updatehub_probe en objects\[1] en zephyrproject-rtos zephyr (CVE-2020-10060)
Gravedad:
MediaMedia
Publication date: 11/05/2020
Last modified:
02/10/2020
Descripción:
En la función updatehub_probe, justo después que el análisis JSON es completado, objects\[1] es accedido desde la estructura de salida en dos lugares diferentes. Si el JSON contenía menos de dos elementos, este acceso haría referencia a la memoria de la pila no inicializada. Esto podría resultar en un bloqueo, una denegación de servicio o posiblemente un filtrado de información. Siempre que la corrección en el CVE-2020-10059 sea aplicada, el ataque requiere un compromiso del servidor. Consulte NCC-ZEP-030. Este problema afecta a: zephyrproject-rtos zephyr versión 2.1.0 y versiones posteriores. versión 2.2.0 y versiones posteriores