Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en SVG File Preview en GitLab (CVE-2020-13339)
Gravedad:
MediaMedia
Publication date: 08/10/2020
Last modified:
08/10/2020
Descripción:
Se ha detectado un problema en GitLab afectando a todas las versiones anteriores a 13.2.10, 13.3.7 y 13.4.2: Una vulnerabilidad de tipo XSS en SVG File Preview. El impacto general es limitado debido a que solo el usuario actual esta siendo impactado
Vulnerabilidad en IBM Informix spatial (CVE-2020-4799)
Gravedad:
MediaMedia
Publication date: 08/10/2020
Last modified:
08/10/2020
Descripción:
IBM Informix spatial versión 14.10, podría permitir a un usuario local ejecutar comandos como usuario privilegiado debido a una vulnerabilidad de escritura fuera de límites. IBM X-Force ID: 189460
Vulnerabilidad en el manejo de peticiones en el patrón de expresión regular predeterminado en Jenkins Audit Trail Plugin (CVE-2020-2288)
Gravedad:
MediaMedia
Publication date: 08/10/2020
Last modified:
09/10/2020
Descripción:
En Jenkins Audit Trail Plugin versiones 3.6 y anteriores, el patrón de expresión regular predeterminado podría omitirse en muchos casos agregando un sufijo a la URL que se ignoraría durante el manejo de peticiones
Vulnerabilidad en el nombre y la descripción de parámetros de compilación en Jenkins Active Choices Plugin (CVE-2020-2289)
Gravedad:
BajaBaja
Publication date: 08/10/2020
Last modified:
09/10/2020
Descripción:
Jenkins Active Choices Plugin versiones 2.4 y anteriores, no escapan el nombre y la descripción de parámetros de compilación, resultando en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado explotable por atacantes con permiso Job/Configure
Vulnerabilidad en valores de retorno de scripts en sandbox para Reactive Reference Parameters en Jenkins Active Choices Plugin (CVE-2020-2290)
Gravedad:
BajaBaja
Publication date: 08/10/2020
Last modified:
09/10/2020
Descripción:
Jenkins Active Choices Plugin versiones 2.4 y anteriores, no escapan algunos valores de retorno de scripts en sandbox para Reactive Reference Parameters, lo que resulta en una vulnerabilidad de tipo cross-site scripting (XSS) almacenado explotable por atacantes con permiso Job/Configure
Vulnerabilidad en el almacenamiento de la contraseña de servidor en el archivo de configuración global en el controlador de Jenkins couchdb-statistics Plugin (CVE-2020-2291)
Gravedad:
BajaBaja
Publication date: 08/10/2020
Last modified:
09/10/2020
Descripción:
Jenkins couchdb-statistics Plugin versiones 0.3 y anteriores, almacena su contraseña de servidor sin cifrar en su archivo de configuración global en el controlador de Jenkins, donde puede ser visualizada por los usuarios con acceso al sistema de archivos del controlador de Jenkins
Vulnerabilidad en el controlador de Jenkins Persona Plugin (CVE-2020-2293)
Gravedad:
MediaMedia
Publication date: 08/10/2020
Last modified:
09/10/2020
Descripción:
Jenkins Persona Plugin versiones 2.4 y anteriores, permite a usuarios con permiso Overall/Read leer archivos arbitrarios en el controlador de Jenkins
Vulnerabilidad en las comprobaciones de permisos en endpoints HTTP en Jenkins Maven Cascade Release Plugin (CVE-2020-2294)
Gravedad:
MediaMedia
Publication date: 08/10/2020
Last modified:
09/10/2020
Descripción:
Jenkins Maven Cascade Release Plugin versiones 1.3.2 y anteriores, no lleva a cabo comprobaciones de permisos en varios endpoints HTTP, permitiendo a atacantes con permiso Overall/Read iniciar compilaciones en cascada y compilaciones de diseño, y reconfigurar el plugin
Vulnerabilidad en compilaciones en cascada y compilaciones de diseño en Jenkins Maven Cascade Release Plugin (CVE-2020-2295)
Gravedad:
MediaMedia
Publication date: 08/10/2020
Last modified:
09/10/2020
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins Maven Cascade Release Plugin versiones 1.3.2 y anteriores, permite a atacantes iniciar compilaciones en cascada y compilaciones de diseño, y reconfigurar el plugin
Vulnerabilidad en la configuración de objetos compartidos en Jenkins Shared Objects Plugin (CVE-2020-2296)
Gravedad:
MediaMedia
Publication date: 08/10/2020
Last modified:
09/10/2020
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins Shared Objects Plugin versiones 0.44 y anteriores, permite a atacantes configurar objetos compartidos

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la distribución de documentos PDF políglotas en el plugin Lever PDF Embedder para WordPress (CVE-2019-19589)
Gravedad:
AltaAlta
Publication date: 05/12/2019
Last modified:
08/10/2020
Descripción:
** DISPUTADA ** El plugin Lever PDF Embedder 4.4 para WordPress no bloquea la distribución de documentos PDF poliglotas que son archivos JAR válidos. Nota: Se ha argumentado que "La vulnerabilidad reportada en el PDF Embedder Plugin no es válida ya que el plugin por sí mismo no controla o gestiona el proceso de carga de archivos. Sólo sirve a los archivos PDF cargados y la responsabilidad de la carga del archivo PDF sigue siendo del propietario del sitio de la instalación de Wordpress, la carga del archivo PDF es administrada por el núcleo de Wordpress y no por el PDF Embedder Plugin. El control y el bloqueo del archivo políglota se debe realizar en el momento de la carga, no al mostrar el archivo. Además, la referencia menciona la recuperación de los archivos de la caché del navegador y el cambio de nombre manual a jar para ejecutar el archivo. Esto se refiere a un paso de dos pasos no conectados que no tiene nada que ver con PDF Embedder"