Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2020-14775)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
06/11/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 5.7.31 y anteriores y 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Encryption) (CVE-2020-14800)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Encryption). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Communications Diameter Signaling Router (DSR) de Oracle Communications (componente: User Interface) (CVE-2020-14788)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto Oracle Communications Diameter Signaling Router (DSR) de Oracle Communications (componente: User Interface). Las versiones compatibles que están afectadas son 8.0.0.0-8.4.0.5. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Communications Diameter Signaling Router (DSR). Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad está en Oracle Communications Diameter Signaling Router (DSR), los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Communications Diameter Signaling Router (DSR), así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Communications Diameter Signaling Router (DSR). CVSS 3.1 Puntuación Base 6.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2020-14785)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
06/11/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle BI Publisher de Oracle Fusion Middleware (componente: Mobile Service) (CVE-2020-14784)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto Oracle BI Publisher de Oracle Fusion Middleware (componente: Mobile Service). Las versiones compatibles que están afectadas son 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle BI Publisher. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad está en Oracle BI Publisher, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle BI Publisher, así como también en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle BI Publisher. CVSS 3.1 Puntuación Base 8.2 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N)
Vulnerabilidad en el producto Oracle Hospitality RES 3700 de Oracle Food and Beverage Applications (componente: CAL) (CVE-2020-14783)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto Oracle Hospitality RES 3700 de Oracle Food and Beverage Applications (componente: CAL). La versión compatible que está afectada es la 5.7. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de TCP comprometer a Oracle Hospitality RES 3700. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Hospitality RES 3700. CVSS 3.1 Puntuación Base 5.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto BI Publisher de Oracle Fusion Middleware (componente: BI Publisher Security) (CVE-2020-14780)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto BI Publisher de Oracle Fusion Middleware (componente: BI Publisher Security). Las versiones compatibles que están afectadas son 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a BI Publisher. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de BI Publisher, así como también en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de BI Publisher. CVSS 3.1 Puntuación Base 7.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:L/A:N)
Vulnerabilidad en el producto PeopleSoft Enterprise HCM Global Payroll Core de Oracle PeopleSoft (componente: Security) (CVE-2020-14778)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto PeopleSoft Enterprise HCM Global Payroll Core de Oracle PeopleSoft (componente: Security). La versión compatible que está afectada es la 9.2. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a PeopleSoft Enterprise HCM Global Payroll Core. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de PeopleSoft Enterprise HCM Global Payroll Core, así como acceso de lectura no autorizado a un subconjunto de los datos accesibles de PeopleSoft Enterprise HCM Global Payroll Core y la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de PeopleSoft Enterprise HCM Global Payroll Core. CVSS 3.1 Puntuación Base 6.3 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2020-14777)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
06/11/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB) (CVE-2020-14776)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
10/11/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 5.7.31 y anteriores y 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2020-14885)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). La versión compatible que está afectada es la anterior a la 6.1.16. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 6.0 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N)
Vulnerabilidad en el producto Oracle CRM Technical Foundation de Oracle E-Business Suite (componente: Preferences) (CVE-2020-14774)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto Oracle CRM Technical Foundation de Oracle E-Business Suite (componente: Preferences). Las versiones compatibles que están afectadas son 12.1.1 - 12.1.3 y 12.2.3 - 12.2.10. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle CRM Technical Foundation. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de Oracle CRM Technical Foundation. CVSS 3.1 Puntuación Base 7.5 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2020-14773)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
06/11/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Hyperion Lifecycle Management de Oracle Hyperion (componente: Shared Services) (CVE-2020-14772)
Gravedad:
BajaBaja
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto Hyperion Lifecycle Management de Oracle Hyperion (componente: Shared Services). La versión compatible que está afectada es 11.1.2.4. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso a la red por medio de HTTP comprometer a Hyperion Lifecycle Management. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o todos los datos accesibles de Hyperion Lifecycle Management. CVSS 3.1 Puntuación Base 4.2 (Impactos de la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:H/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Seguridad: LDAP Auth) (CVE-2020-14771)
Gravedad:
BajaBaja
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Seguridad: LDAP Auth). Las versiones compatibles que están afectadas son 5.7.31 y anteriores y 8.0.21 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de MySQL Server. CVSS 3.1 Puntuación Base 2.2 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:L)
Vulnerabilidad en el producto Hyperion BI+ de Oracle Hyperion (componente: IQR-Foundation service) (CVE-2020-14770)
Gravedad:
BajaBaja
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto Hyperion BI+ de Oracle Hyperion (componente: IQR-Foundation service). La versión compatible que está afectada es 11.1.2.4. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a Hyperion BI+. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Hyperion BI+. CVSS 3.1 Puntuación Base 2.0 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2020-14769)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
06/11/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 5.6.49 y anteriores, 5.7.31 y anteriores y 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: FTS) (CVE-2020-14765)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
10/11/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: FTS). Las versiones compatibles que están afectadas son 5.6.49 y anteriores, 5.7.31 y anteriores y 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Stored Procedure) (CVE-2020-14672)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
06/11/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Servidor: Stored Procedure). Las versiones compatibles que están afectadas son 5.6.49 y anteriores, 5.7.31 y anteriores y 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Marketing de Oracle E-Business Suite (componente: Marketing Administration) (CVE-2020-14831)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto Oracle Marketing de Oracle E-Business Suite (componente: Marketing Administration). Las versiones compatibles que están afectadas son 12.1.1 - 12.1.3 y 12.2.3 - 12.2.10. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Marketing. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad está en Oracle Marketing, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Marketing, así como en la actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Marketing. CVSS 3.1 Puntuación Base 8.2 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2020-14884)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). La versión compatible que está afectada es la anterior a la 6.1.16. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 6.0 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N)
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) (CVE-2020-14883)
Gravedad:
AltaAlta
Publication date: 21/10/2020
Last modified:
19/11/2020
Descripción:
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console). Las versiones compatibles que están afectadas son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de HTTP comprometer a Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server. CVSS 3.1 Puntuación Base 7.2 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) (CVE-2020-14882)
Gravedad:
AltaAlta
Publication date: 21/10/2020
Last modified:
19/11/2020
Descripción:
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console). Las versiones compatibles que están afectadas son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server. CVSS 3.1 Puntuación Base 9.8 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core) (CVE-2020-14881)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). La versión compatible que está afectada es la anterior a la 6.1.16. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde se ejecuta Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Aunque la vulnerabilidad está en Oracle VM VirtualBox, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle VM VirtualBox. CVSS 3.1 Puntuación Base 6.0 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N)
Vulnerabilidad en el producto BI Publisher de Oracle Fusion Middleware (componente: E-Business Suite - XDO) (CVE-2020-14880)
Gravedad:
AltaAlta
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto BI Publisher de Oracle Fusion Middleware (componente: E-Business Suite - XDO). Las versiones compatibles que están afectadas son 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a BI Publisher. Aunque la vulnerabilidad está en BI Publisher, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de BI Publisher, así como también en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de BI Publisher. CVSS 3.1 Puntuación Base 8.5 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N)
Vulnerabilidad en el producto Oracle Hospitality OPERA 5 Property Services de Oracle Hospitality Applications (componente: Logging) (CVE-2020-14877)
Gravedad:
AltaAlta
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto Oracle Hospitality OPERA 5 Property Services de Oracle Hospitality Applications (componente: Logging). Las versiones compatibles que están afectadas son 5.5 y 5.6. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Hospitality OPERA 5 Property Services. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación, eliminación o modificación no autorizada del acceso a datos críticos o todos los datos accesibles de Oracle Hospitality OPERA 5 Property Services, así como también el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Hospitality OPERA 5 Property Services. CVSS 3.1 Puntuación Base 6.5 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto Oracle Trade Management de Oracle E-Business Suite (componente: User Interface) (CVE-2020-14876)
Gravedad:
AltaAlta
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto Oracle Trade Management de Oracle E-Business Suite (componente: User Interface). Las versiones compatibles que están afectadas son 12.1.1 - 12.1.3 y 12.2.3 - 12.2.10. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Trade Management. Los ataques con éxito de esta vulnerabilidad pueden resultar en una creación, eliminación o modificación no autorizada del acceso a datos críticos o todos los datos accesibles de Oracle Trade Management, así como también el acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de Oracle Trade Management. CVSS 3.1 Puntuación Base 9.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: NDBCluster Plugin) (CVE-2020-14853)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto MySQL Cluster de Oracle MySQL (componente: Cluster: NDBCluster Plugin). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Cluster. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de MySQL Cluster y la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de MySQL Cluster. CVSS 3.1 Puntuación Base 4.6 (Impactos de Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Charsets) (CVE-2020-14852)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Charsets). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Analytics Actions) (CVE-2020-14843)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Analytics Actions). Las versiones compatibles que están afectadas son 5.5.0.0.0, 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Business Intelligence Enterprise Edition. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se encuentra en Oracle Business Intelligence Enterprise Edition, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Oracle Business Intelligence Enterprise Edition, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Business Intelligence Enterprise Edition y la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Business Intelligence Enterprise Edición. CVSS 3.1 Puntuación Base 7.1 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L)
Vulnerabilidad en el producto BI Publisher de Oracle Fusion Middleware. (componente: BI Publisher Security) (CVE-2020-14842)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto BI Publisher de Oracle Fusion Middleware (componente: BI Publisher Security). Las versiones compatibles que están afectadas son 5.5.0.0.0, 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a BI Publisher. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad está en BI Publisher, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o acceso completo a todos los datos accesibles de BI Publisher, así como también en una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de BI Publisher. CVSS 3.1 Puntuación Base 8.2 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N)
Vulnerabilidad en el producto Oracle Application Object Library de Oracle E-Business Suite. (componente: Diagnostics) (CVE-2020-14840)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto Oracle Application Object Library de Oracle E-Business Suite (componente: Diagnostics). Las versiones compatibles que están afectadas son 12.1.3 y 12.2.3 - 12.2.10. Una vulnerabilidad explotable fácilmente permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Application Object Library. Los ataques con éxito requieren la interacción humana de una persona diferente del atacante y, aunque la vulnerabilidad se encuentra en Oracle Application Object Library, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en una actualización, insertar o eliminación no autorizada del acceso a algunos de los datos accesibles de Oracle Application Object Library. CVSS 3.1 Puntuación Base 4.7 (Impactos de la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2020-14839)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Privileges) (CVE-2020-14838)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Privileges). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server. CVSS 3.1 Puntuación Base 4.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2020-14837)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2020-14836)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 6.5 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Locking) (CVE-2020-14812)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
10/11/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Locking). Las versiones compatibles que están afectadas son 5.6.49 y anteriores, 5.7.31 y anteriores y 8.0.21 y anteriores. Una vulnerabilidad explotable fácilmente permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.1 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)
Vulnerabilidad en el kernel de Microsoft Windows (CVE-2020-16890)
Gravedad:
AltaAlta
Publication date: 16/10/2020
Last modified:
26/10/2020
Descripción:
Se presenta una vulnerabilidad de escalada de privilegios cuando el kernel de Windows presenta un fallo al manejar apropiadamente objetos en memoria, también se conoce como "Windows Kernel Elevation of Privilege Vulnerability"
Vulnerabilidad en la comprobación de claves de acceso en una Función HTTP en Azure Functions (CVE-2020-16904)
Gravedad:
AltaAlta
Publication date: 16/10/2020
Last modified:
26/10/2020
Descripción:
Se presenta una vulnerabilidad de escalada de privilegios en la manera que Azure Functions comprueba claves de acceso. Un atacante no autenticado que explotara con éxito esta vulnerabilidad podría invocar una Función HTTP sin la apropiada autorización. Esta actualización de seguridad aborda la vulnerabilidad al comprobar correctamente unas claves de acceso usadas para acceder a unas funciones HTTP, también se conoce como "Azure Functions Elevation of Privilege Vulnerability"
Vulnerabilidad en la imagen del kernel de Microsoft Windows (CVE-2020-16892)
Gravedad:
MediaMedia
Publication date: 16/10/2020
Last modified:
26/10/2020
Descripción:
Se presenta una vulnerabilidad de escalada de privilegios en la manera en que la imagen del kernel de Windows maneja objetos en memoria. Un atacante que explote la vulnerabilidad con éxito podría ejecutar código con permisos elevados. Para explotar la vulnerabilidad, un atacante autenticado local podría correr una aplicación especialmente diseñada. La actualización de seguridad aborda la vulnerabilidad al garantizar que la imagen del kernel de Windows maneje apropiadamente objetos en memoria, también se conoce como "Windows Image Elevation of Privilege Vulnerability"
Vulnerabilidad en Windows KernelStream de Microsoft (CVE-2020-16889)
Gravedad:
BajaBaja
Publication date: 16/10/2020
Last modified:
26/10/2020
Descripción:
Se presenta una vulnerabilidad de divulgación de información cuando Windows KernelStream maneja inapropiadamente objetos en memoria, también se conoce como "Windows KernelStream Information Disclosure Vulnerability"
Vulnerabilidad en Windows Network Connections Service de Microsoft (CVE-2020-16887)
Gravedad:
MediaMedia
Publication date: 16/10/2020
Last modified:
26/10/2020
Descripción:
Se presenta una vulnerabilidad de escalada de privilegios en la manera en que Windows Network Connections Service maneja objetos en memoria, también se conoce como "Windows Network Connections Service Elevation of Privilege Vulnerability"
Vulnerabilidad en la configuración como reenviador DHCP en el proceso Juniper Networks Dynamic Host Configuration Protocol Daemon (jdhcp) en dispositivos Juniper Networks Junos OS (CVE-2020-1661)
Gravedad:
MediaMedia
Publication date: 16/10/2020
Last modified:
26/10/2020
Descripción:
En dispositivos Juniper Networks Junos OS configurados como un reenviador DHCP, el proceso Juniper Networks Dynamic Host Configuration Protocol Daemon (jdhcp) puede fallar al recibir un paquete DHCP malformado. Este problema solo afecta a los dispositivos configurados como reenviador DHCP con la opción de solo reenvío, que reenvían paquetes de cliente DHCP especificados, sin crear una nueva sesión de suscriptor. El demonio jdhcpd se reinicia automáticamente sin intervención, pero la recepción continua del paquete DHCP malformado bloqueará repetidamente jdhcpd, lo que provocará una condición de denegación de servicio (DoS) extendida. Este problema solo puede ser provocado por DHCPv4, no puede ser provocado por DHCPv6. Este problema afecta a Juniper Networks Junos OS: versiones 12.3 anteriores a 12.3R12-S16; versiones 12.3X48 anteriores a 12.3X48-D105 en SRX Series; versiones 14.1X53 anteriores a 14.1X53-D60 en EX y QFX Series; versiones 15. 1 anteriores a 15.1R7-S7; versiones 15.1X49 anteriores a 15.1X49-D221, 15.1X49-D230 en SRX Series; versiones 15.1X53 anteriores a 15.1X53-D593 en EX2300/EX3400; versiones 16.1 anteriores a 16.1R7-S5
Vulnerabilidad en el parámetro nameTxt en la página principal de inicio de sesión en Aptean Product Configurator (CVE-2020-26944)
Gravedad:
AltaAlta
Publication date: 16/10/2020
Last modified:
26/10/2020
Descripción:
Se detectó un problema en Aptean Product Configurator versión 4.61.0000 en Windows. Una inyección SQL basada en Tiempo afecta el parámetro nameTxt en la página principal de inicio de sesión (también se conoce como cse?cmd=LOGIN). Esto puede ser explotado de forma directa y remota
Vulnerabilidad en la funcionalidad "source code mode" en el análisis HTML en Mark Text (CVE-2020-27176)
Gravedad:
MediaMedia
Publication date: 16/10/2020
Last modified:
26/10/2020
Descripción:
La mutación XSS se presenta en Mark Text versiones hasta 0.16.2, que conlleva a una Ejecución de Código Remota. NOTA: esto podría ser considerado un duplicado del CVE-2020-26870; sin embargo, también puede ser considerado un problema en el diseño de la funcionalidad "source code mode", que analiza HTML aunque el soporte HTML no es uno de los roles principales anunciados del producto
Vulnerabilidad en el subproceso de emulación microVM en el búfer de la consola serial en Amazon AWS Firecracker (CVE-2020-27174)
Gravedad:
MediaMedia
Publication date: 16/10/2020
Last modified:
26/10/2020
Descripción:
En Amazon AWS Firecracker versiones anteriores a 0.21.3 y versiones 0.22.x anteriores a 0.22.1, el búfer de la consola serial puede aumentar su uso de memoria sin límite cuando los datos son enviados a la entrada estándar. Esto puede resultar en una pérdida de memoria en el subproceso (hilo) de emulación microVM, posiblemente ocupando más memoria de la prevista en el host
Vulnerabilidad en el FIFO de la consola serial en vm-superio (CVE-2020-27173)
Gravedad:
MediaMedia
Publication date: 16/10/2020
Last modified:
26/10/2020
Descripción:
En vm-superio versiones anteriores a 0.1.1, el FIFO de la consola serial puede crecer hasta un uso de memoria ilimitado cuando los datos son enviados hacia la fuente de entrada (es decir, entrada estándar). Este comportamiento no pueden ser reproducido desde el lado del invitado. Cuando no existe una limitación de velocidad, el host puede estar sujeto a la presión de la memoria, impactando a todas las demás máquinas virtuales que se ejecutan en el mismo host
Vulnerabilidad en el archivo login.php en el parámetro username en phpRedisAdmin (CVE-2020-27163)
Gravedad:
MediaMedia
Publication date: 16/10/2020
Last modified:
26/10/2020
Descripción:
phpRedisAdmin versiones anteriores a 1.13.2, permite un ataque de tipo XSS por medio del parámetro username del archivo login.php
Vulnerabilidad en la comprobación de permisos en el recurso ActionsAndOperations en Jira Server (CVE-2020-14185)
Gravedad:
MediaMedia
Publication date: 15/10/2020
Last modified:
26/10/2020
Descripción:
Las versiones afectadas de Jira Server permiten a atacantes remotos no autenticados enumerar las claves de emisión por medio de una falta de comprobación de permisos en el recurso ActionsAndOperations. Las versiones afectadas son anteriores a 7.13.18, desde la versión 8.0.0 anteriores a 8.5.9 y desde la versión 8.6.0 anteriores a la versión 8.12.2
Vulnerabilidad en el servicio TFTP en B&R Automation Runtime (CVE-2020-11637)
Gravedad:
MediaMedia
Publication date: 15/10/2020
Last modified:
26/10/2020
Descripción:
Una pérdida de memoria en el servicio TFTP en B&R Automation Runtime en versiones anteriores a N4.26, anteriores a N4.34, anteriores a F4.45, anteriores a E4.53, anteriores a D4.63, anteriores a A4.73 y anteriores, podría permitir a un atacante no autenticado con acceso de red causar una condición de denegación de servicio (DoS)
Vulnerabilidad en un archivo de almacenamiento en el archivo archive_string.c en la función archive_string_append_from_wcs() en libarchive-3.4.1dev (CVE-2020-21674)
Gravedad:
MediaMedia
Publication date: 15/10/2020
Last modified:
26/10/2020
Descripción:
Un desbordamiento del búfer en la región heap de la memoria en la función archive_string_append_from_wcs() (en el archivo archive_string.c) en libarchive-3.4.1dev, permite a atacantes remotos causar una denegación de servicio (una escritura fuera de límites en la memoria de la pila resultando en un bloqueo) por medio de un archivo de almacenamiento diseñado. NOTA: esto solo afecta a los usuarios que descargaron el código de desarrollo de GitHub. Los usuarios de los lanzamientos oficiales del producto no están afectados
Vulnerabilidad en la funcionalidad hardware scan en la ruta de búsqueda de DLL en Lenovo HardwareScan Plugin de Lenovo Vantage (CVE-2020-8345)
Gravedad:
MediaMedia
Publication date: 14/10/2020
Last modified:
26/10/2020
Descripción:
Se reportó una vulnerabilidad en la ruta de búsqueda de DLL en Lenovo HardwareScan Plugin para la funcionalidad hardware scan de Lenovo Vantage versiones anteriores a 1.0.46.11, que podría permitir una escalada de privilegios
Vulnerabilidad en la comprobación de sesión en IBM Security Access Manager Appliance (CVE-2020-4395)
Gravedad:
MediaMedia
Publication date: 14/10/2020
Last modified:
26/10/2020
Descripción:
IBM Security Access Manager Appliance versión 9.0.7, no comprueba una sesión después del cierre de sesión, lo que podría permitir a un usuario autenticado suplantar a otro usuario en el sistema. IBM X-Force ID: 179358
Vulnerabilidad en un servidor web en una API en Trend Micro Antivirus para Mac (CVE-2020-27013)
Gravedad:
BajaBaja
Publication date: 14/10/2020
Last modified:
26/10/2020
Descripción:
Trend Micro Antivirus para Mac versión 2020 (Consumer), contiene una vulnerabilidad en el producto que ocurre cuando un servidor web es iniciado que implementa una API con varias propiedades que pueden ser leídas y escritas al permitir a un atacante recopilar y modificar datos confidenciales del usuario y del producto. Un atacante debe primero obtener la capacidad de ejecutar código poco privilegiado en el sistema objetivo a fin de explotar esta vulnerabilidad
Vulnerabilidad en una petición de extensión de kernel en la funcionalidad Web Threat Protection en Trend Micro Antivirus para Mac (CVE-2020-25777)
Gravedad:
MediaMedia
Publication date: 14/10/2020
Last modified:
26/10/2020
Descripción:
Trend Micro Antivirus para Mac versión 2020 (Consumer), es vulnerable a un ataque de petición de extensión de kernel específico donde un atacante podría omitir la funcionalidad Web Threat Protection del producto. Es requerida una interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso
Vulnerabilidad en la tecla Exportar en el asistente Export Telegram Data en Telegram Desktop (CVE-2020-25824)
Gravedad:
BajaBaja
Publication date: 14/10/2020
Last modified:
26/10/2020
Descripción:
Telegram Desktop versiones hasta 2.4.3, no requiere el ingreso de un código de acceso al presionar la tecla Exportar dentro del asistente Export Telegram Data. El modelo de amenaza es una víctima que voluntariamente ha abierto Export Wizard, pero luego es distraído. Un atacante luego se acerca al escritorio desatendido y presiona la tecla Export. En consecuencia, este atacante puede conseguir acceso a todas las conversaciones de chat y archivos multimedia
Vulnerabilidad en un archivo de proyecto en LAquis SCADA (CVE-2020-25188)
Gravedad:
MediaMedia
Publication date: 14/10/2020
Last modified:
26/10/2020
Descripción:
Un atacante que convenza a un usuario válido de abrir un archivo de proyecto especialmente diseñado para explotarlo podría ejecutar código bajo los privilegios de la aplicación debido a una vulnerabilidad de lectura fuera de límites en LAquis SCADA (versiones anteriores a 4.3.1.870)
Vulnerabilidad en la comprobación de parámetros en la página de inicio de sesión de IProom MMC+ Server (CVE-2020-24551)
Gravedad:
MediaMedia
Publication date: 14/10/2020
Last modified:
26/10/2020
Descripción:
La página de inicio de sesión de IProom MMC+ Server no comprueba parámetros específicos apropiadamente. Los atacantes pueden utilizar la vulnerabilidad para redireccionar a cualquier sitio malicioso y robar las credenciales de inicio de sesión de la víctima
Vulnerabilidad en el manejo de los encabezados de autenticación en las instalaciones afectadas de Microhard Bullet-LTE (CVE-2020-17407)
Gravedad:
AltaAlta
Publication date: 13/10/2020
Last modified:
26/10/2020
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Microhard Bullet-LTE versiones anteriores a v1.2.0-r1112. No es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta dentro del manejo de los encabezados de autenticación. El problema resulta de una falta de comprobación apropiada de la longitud de los datos suministrados por el usuario antes de copiarlos hacia un búfer en la región stack de la memoria de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root. Fue ZDI-CAN-10596
Vulnerabilidad en el archivo tools.sh en el manejo del parámetro ping en las instalaciones afectadas de Microhard Bullet-LTE (CVE-2020-17406)
Gravedad:
AltaAlta
Publication date: 13/10/2020
Last modified:
26/10/2020
Descripción:
Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Microhard Bullet-LTE versiones anteriores a v1.2.0-r1112. Es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta dentro del manejo del parámetro ping proporcionado al archivo tools.sh. El problema resulta de la falta de comprobación apropiada de una cadena suministrada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root. Fue ZDI-CAN-10595
Vulnerabilidad en los registros de tareas en Octopus Deploy (CVE-2020-25825)
Gravedad:
MediaMedia
Publication date: 12/10/2020
Last modified:
26/10/2020
Descripción:
En Octopus Deploy versiones 3.1.0 hasta 2020.4.0, determinados scripts pueden revelar información confidencial al usuario en los registros de tareas
Vulnerabilidad en el envío de paquetes en dispositivos HUAWEI P30 Pro (CVE-2020-9123)
Gravedad:
MediaMedia
Publication date: 12/10/2020
Last modified:
26/10/2020
Descripción:
Dispositivos HUAWEI P30 Pro versiones anteriores a 10.1.0.160(C00E160R2P8) y versiones anteriores a 10.1.0.160(C01E160R2P8), presentan una vulnerabilidad de desbordamiento del búfer. Un atacante induce a usuarios a instalar aplicaciones maliciosas y enviar paquetes especialmente construidos hacia los dispositivos afectados después de obtener el permiso root. Una explotación con éxito puede causar una ejecución de código
Vulnerabilidad en la comprobación de permisos en GitLab (CVE-2020-13341)
Gravedad:
MediaMedia
Publication date: 12/10/2020
Last modified:
26/10/2020
Descripción:
Se ha detectado un problema en GitLab afectando a todas las versiones anteriores a 13.2.10, 13.3.7 y 13.4.2. Una comprobación insuficiente de permisos permite a un atacante con rol de desarrollador llevar a cabo varias eliminaciones
Vulnerabilidad en la comprobación de entrada en un método readLine() de Java en IBM Curam Social Program Management (CVE-2020-4781)
Gravedad:
MediaMedia
Publication date: 12/10/2020
Last modified:
26/10/2020
Descripción:
Una comprobación de entrada inapropiada antes de llamar a un método readLine() de java puede impactar a IBM Curam Social Program Management versiones 7.0.9 y 7.0.10, lo que podría resultar en una denegación de servicio. IBM X-Force ID: 189159
Vulnerabilidad en los scripts de compilación de OOTB en el atributo seguro en IBM Curam Social Program Management (CVE-2020-4780)
Gravedad:
MediaMedia
Publication date: 12/10/2020
Last modified:
26/10/2020
Descripción:
Los scripts de compilación de OOTB no establecen el atributo seguro en la cookie de sesión, lo que puede impactar a IBM Curam Social Program Management versiones 7.0.9 y 7.0,10. El propósito del atributo "secure" es impedir que las cookies sean observadas por partes no autorizadas. IBM X-Force ID: 189158
Vulnerabilidad en los archivos de exportación de filtros de problemas de Jira en Atlassian Jira Server (CVE-2020-14184)
Gravedad:
BajaBaja
Publication date: 12/10/2020
Last modified:
26/10/2020
Descripción:
Las versiones afectadas de Atlassian Jira Server, permiten a atacantes remotos inyectar HTML o JavaScript arbitrario por medio de una vulnerabilidad de tipo Cross-Site Scripting (XSS) en los archivos de exportación de filtros de problemas de Jira. Las versiones afectadas son anteriores a 8.5.9, desde versión 8.6.0 anteriores a 8.12.3 y desde versión 8.13.0 anteriores a 8.13.1
Vulnerabilidad en una RPATH en monero-wallet-gui en Monero GUI (CVE-2020-26947)
Gravedad:
MediaMedia
Publication date: 10/10/2020
Last modified:
28/10/2020
Descripción:
monero-wallet-gui en Monero GUI versiones 0.17.0.1 incluye el directorio . en una RPATH insertada (con una preferencia antes de /usr/lib), que permite a los usuarios locales alcanzar privilegios por medio de una biblioteca de tipo caballo de Troya en el directorio de trabajo actual
Vulnerabilidad en el archivo Items/RemoteSearch/Image en el parámetro ImageURL en Emby Server8) (CVE-2020-26948)
Gravedad:
AltaAlta
Publication date: 10/10/2020
Last modified:
26/10/2020
Descripción:
Emby Server versiones anteriores a 4.5.0, permite un ataque de tipo SSRF por medio del parámetro ImageURL del archivo Items/RemoteSearch/Image
Vulnerabilidad en la deserialización de flujos de objetos en MyBatis (CVE-2020-26945)
Gravedad:
MediaMedia
Publication date: 10/10/2020
Last modified:
26/10/2020
Descripción:
MyBatis versiones anteriores a 3.5.6, maneja inapropiadamente la deserialización de flujos de objetos
Vulnerabilidad en las sentencias SQL en la funcionalidad de búsqueda en SearchController en phpMyAdmin (CVE-2020-26935)
Gravedad:
AltaAlta
Publication date: 10/10/2020
Last modified:
02/11/2020
Descripción:
Se detectó un problema en SearchController en phpMyAdmin versiones anteriores a 4.9.6 y versiones 5.x anteriores a 5.0.3. Se detectó una vulnerabilidad de inyección SQL en cómo phpMyAdmin procesa las sentencias SQL en la funcionalidad de búsqueda. Un atacante podría usar este fallo para inyectar SQL malicioso en una consulta
Vulnerabilidad en debian/sympa.postinst para el paquete Debian Sympa (CVE-2020-26932)
Gravedad:
MediaMedia
Publication date: 10/10/2020
Last modified:
26/10/2020
Descripción:
debian/sympa.postinst para el paquete Debian Sympa versiones anteriores a 6.2.40~dfsg-7, usa el modo 4755 para sympa_newaliases-wrapper, mientras que los permisos previstos están en el modo 4750 (para el acceso del grupo sympa)
Vulnerabilidad en la lógica de comprobación de entrada en Taurus-AN00B (CVE-2020-9105)
Gravedad:
MediaMedia
Publication date: 09/10/2020
Last modified:
26/10/2020
Descripción:
Taurus-AN00B versiones anteriores a 10.1.0.156(C00E155R7P2), presentan una vulnerabilidad de comprobación insuficiente de la entrada. Debido a que la lógica de comprobación de entrada es incorrecta, un atacante puede explotar esta vulnerabilidad para acceder y modificar la memoria del dispositivo al hacer una serie de operaciones. Una explotación con éxito puede causar que el servicio sea anormal
Vulnerabilidad en las conexiones HTTPS en el método HttpUtils#getURLConnection en Apache Calcite (CVE-2020-13955)
Gravedad:
MediaMedia
Publication date: 09/10/2020
Last modified:
26/10/2020
Descripción:
El método HttpUtils#getURLConnection deshabilita explícitamente una verificación del nombre de host para las conexiones HTTPS, haciendo a clientes vulnerables a unos ataques de tipo man-in-the-middle. Calcite usa internamente este método para conectarse con Druid y Splunk, por lo que puede ocurrir un filtrado de información al usar los adaptadores de Calcite respectivos. El método en sí está en una clase de utilidad, por lo que las personas pueden usarlo para crear conexiones HTTPS vulnerables para otras aplicaciones. Desde Apache Calcite versión 1.26 en adelante, la verificación del nombre de host se llevará a cabo usando el almacén de confianza JVM predeterminado
Vulnerabilidad en la carpeta _LTUPDATE en ConnectWise Automate (CVE-2020-15838)
Gravedad:
MediaMedia
Publication date: 09/10/2020
Last modified:
26/10/2020
Descripción:
El Agent Update System en ConnectWise Automate versiones anteriores a 2020.8, permite una Escalada de Privilegios porque la carpeta _LTUPDATE presenta permisos débiles
Vulnerabilidad en la generación de firmas ECDSA en Firefox y Firefox para Android (CVE-2020-12401)
Gravedad:
BajaBaja
Publication date: 08/10/2020
Last modified:
26/10/2020
Descripción:
Durante la generación de firmas ECDSA, fue removido el relleno aplicado en el nonce diseñado para asegurar la multiplicación escalar de tiempo constante, resultando en una ejecución de tiempo variable dependiente de datos secretos. Esta vulnerabilidad afecta a Firefox versiones anteriores a 80 y Firefox para Android versiones anteriores a 80
Vulnerabilidad en la URL de redireccionamiento en el adaptador de loopback en el framework de seguridad ORY Fosite de OAuth2 y OpenID Connect para Go (CVE-2020-15233)
Gravedad:
MediaMedia
Publication date: 02/10/2020
Last modified:
26/10/2020
Descripción:
ORY Fosite es el primer framework de seguridad OAuth2 y OpenID Connect para Go. En Fosite desde la versión 0.30.2 y versiones anteriores a 0.34.1, se presenta un problema en el que un atacante puede anular la URL de redireccionamiento registrada realizando un flujo de OAuth y solicitando una URL de redireccionamiento al adaptador de loopback. Los atacantes pueden proporcionar parámetros de consulta de URL personalizados a su URL de redireccionamiento de loopback, así como también anular el host de la URL de redireccionamiento registrada. Estos ataques solo son aplicables en escenarios donde el atacante tiene acceso por medio de la interfaz de loopback. Esta vulnerabilidad ha sido parcheada en ORY Fosite versión v0.34.1
Vulnerabilidad en la función set en el paquete bmoor (CVE-2020-7736)
Gravedad:
AltaAlta
Publication date: 02/10/2020
Last modified:
26/10/2020
Descripción:
El paquete bmoor versiones anteriores a 0.8.12, son vulnerables a una Contaminación de Prototipo por medio de la función set

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una extensión de kernel en Trend Micro Antivirus para Mac (CVE-2020-25778)
Gravedad:
BajaBaja
Publication date: 14/10/2020
Last modified:
29/10/2020
Descripción:
Trend Micro Antivirus para Mac versión 2020 (Consumer), presenta una vulnerabilidad en una extensión del kernel específica donde un atacante podría proporcionar un puntero del kernel y filtrar varios bytes de memoria. Un atacante debe primero obtener la capacidad de ejecutar código muy privilegiado en el sistema objetivo a fin de explotar esta vulnerabilidad
Vulnerabilidad en el número máximo de transmisiones simultáneas para una conexión en un cliente HTTP/2 conectado a Apache Tomcat (CVE-2020-13943)
Gravedad:
MediaMedia
Publication date: 12/10/2020
Last modified:
05/11/2020
Descripción:
Si un cliente HTTP/2 conectado a Apache Tomcat versiones 10.0.0-M1 hasta 10.0.0-M7, versiones 9.0.0.M1 hasta 9.0.37 o versiones 8.5.0 hasta 8.5.57, excedió el número máximo acordado de transmisiones simultáneas para una conexión (en violación del protocolo HTTP/2), era posible que una petición subsiguiente realizada en esa conexión pudiera contener encabezados HTTP, incluyendo los pseudo encabezados HTTP/2, de una petición anterior en lugar de los encabezados previstos. Esto podría conllevar que los usuarios visualicen respuestas para recursos inesperados
Vulnerabilidad en el archivo includes/gateways/stripe/includes/admin/admin-actions.php en el plugin GiveWP para WordPress (CVE-2020-20627)
Gravedad:
MediaMedia
Publication date: 31/08/2020
Last modified:
26/10/2020
Descripción:
El archivo includes/gateways/stripe/includes/admin/admin-actions.php en el plugin GiveWP versiones hasta 2.5.9 para WordPress, permite cambios de configuración no autenticados