Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en controlador de control de acceso polkit de un dominio QEMU en la API de libvirt (CVE-2020-25637)
Gravedad:
AltaAlta
Publication date: 06/10/2020
Last modified:
08/10/2020
Descripción:
Se encontró que ocurría un problema de doble liberación de la memoria en la API de libvirt, en versiones anteriores a 6.8.0, responsable de pedir información sobre unas interfaces de red de un dominio QEMU en ejecución. Este fallo afecta al controlador de control de acceso polkit. Específicamente, unos clientes que se conectan al socket de lectura y escritura con permisos limitados de ACL podrían usar este fallo para bloquear el demonio libvirt, resultando en una denegación de servicio o potencialmente escalar sus privilegios sobre el sistema. La mayor amenaza de esta vulnerabilidad es la confidencialidad e integridad de los datos, así como la disponibilidad del sistema
Vulnerabilidad en la implementación de biovecs del kernel de Linux (CVE-2020-25641)
Gravedad:
MediaMedia
Publication date: 06/10/2020
Last modified:
19/10/2020
Descripción:
Se encontró un fallo en la implementación de biovecs del kernel de Linux en versiones anteriores a 5.9-rc7. Una petición de biovec de longitud cero emitida por el subsistema de bloques podría causar que el Kernel entre en un bucle infinito, causando una denegación de servicio. Este fallo permite a un atacante local con privilegios básicos emitir peticiones a un dispositivo de bloqueo, resultando en una denegación de servicio. La mayor amenaza de esta vulnerabilidad es la disponibilidad del sistema
Vulnerabilidad en el uso de un comando HTTP en IBM Maximo Asset Management (CVE-2020-4493)
Gravedad:
AltaAlta
Publication date: 05/10/2020
Last modified:
08/10/2020
Descripción:
IBM Maximo Asset Management versiones 7.6.0 y 7.6.1, podría permitir a un atacante omitir una autenticación y emitir comandos usando un comando HTTP especialmente diseñado. IBM X-Force ID: 181995
Vulnerabilidad en una carga útil agregada como un nombre de grupo en GitLab (CVE-2020-13337)
Gravedad:
BajaBaja
Publication date: 02/10/2020
Last modified:
08/10/2020
Descripción:
Se ha detectado un problema en GitLab que afecta a las versiones de 12.10 hasta 12.10.12, que permitía que una carga útil de tipo XSS almacenado sea agregada como un nombre de grupo
Vulnerabilidad en la edición de referencias en GitLab (CVE-2020-13338)
Gravedad:
BajaBaja
Publication date: 02/10/2020
Last modified:
08/10/2020
Descripción:
Se ha detectado un problema en GitLab que afecta a versiones anteriores a 12.10.13, 13.0.8, 13.1.2. Se detectó una vulnerabilidad de tipo cross-site scripting almacenado cuando se editan referencias
Vulnerabilidad en el archivo class.plx.admin.php en PluXml en Linux (CVE-2020-18185)
Gravedad:
AltaAlta
Publication date: 02/10/2020
Last modified:
08/10/2020
Descripción:
El archivo class.plx.admin.php en PluXml versión 5.7, permite a atacantes ejecutar código PHP arbitrario al modificar el archivo de configuración en un entorno Linux
Vulnerabilidad en el envío de consultas con una firma GSS-TSIG en --enable-experimental-gss-tsig en PowerDNS Authoritative (CVE-2020-24696)
Gravedad:
MediaMedia
Publication date: 02/10/2020
Last modified:
08/10/2020
Descripción:
Se detectó un problema en PowerDNS Authoritative versiones hasta 4.3.0, cuando es usado --enable-experimental-gss-tsig. Un atacante no autenticado remoto puede desencadenar una condición de carrera conllevando a un bloqueo, o posiblemente a una ejecución de código arbitraria, mediante el envío de consultas diseñadas con una firma GSS-TSIG
Vulnerabilidad en el envío de consultas con una firma GSS-TSIG en --enable-experimental-gss-tsig en PowerDNS Authoritative (CVE-2020-24697)
Gravedad:
MediaMedia
Publication date: 02/10/2020
Last modified:
08/10/2020
Descripción:
Se detectó un problema en PowerDNS Authoritative versiones hasta 4.3.0, cuando es usado --enable-experimental-gss-tsig. Un atacante no autenticado remoto puede causar una denegación de servicio mediante el envío de consultas diseñadas con una firma GSS-TSIG
Vulnerabilidad en el envío de consultas con una firma GSS-TSIG en --enable-experimental-gss-tsig en PowerDNS Authoritative (CVE-2020-24698)
Gravedad:
MediaMedia
Publication date: 02/10/2020
Last modified:
08/10/2020
Descripción:
Se detectó un problema en PowerDNS Authoritative versiones hasta 4.3.0, cuando es usado --enable-experimental-gss-tsig. Un atacante remoto no autenticado podría causar una doble liberación, conllevando a un bloqueo o posiblemente una ejecución de código arbitraria. Mediante el envío de consultas diseñadas con una firma GSS-TSIG
Vulnerabilidad en mensajes de chat en BBCode en Live Helper Chat (CVE-2020-26134)
Gravedad:
MediaMedia
Publication date: 02/10/2020
Last modified:
08/10/2020
Descripción:
Live Helper Chat versiones anteriores a 3.44v, permite un ataque de tipo XSS almacenado en mensajes de chat con un operador mediante BBCode
Vulnerabilidad en la función setsettingajax en PATH_INFO en Live Helper Chat (CVE-2020-26135)
Gravedad:
MediaMedia
Publication date: 02/10/2020
Last modified:
08/10/2020
Descripción:
Live Helper Chat versiones anteriores a 3.44v, permite un ataque de tipo XSS reflejado por medio de PATH_INFO de la función setsettingajax

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: