Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: Serialization) (CVE-2020-14779)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
10/11/2020
Descripción:
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: Serialization). Las versiones compatibles que están afectadas son Java SE: 7u271, 8u261, 11.0.8 y 15; Java SE Embedded: 8u261. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Java SE, Java SE Embedded. Nota: Aplica a la implementación de cliente y servidor de Java. Esta vulnerabilidad puede ser explotada mediante aplicaciones Java Web Start en sandbox y applets de Java en sandbox. También se puede explotar proporcionando datos a las API en el Componente especificado sin utilizar aplicaciones Java Web Start en sandbox o applets de Java en sandbox, como mediante un servicio web. CVSS 3.1 Puntuación Base 3.7 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L)
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: Libraries) (CVE-2020-14782)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
10/11/2020
Descripción:
Vulnerabilidad en el producto Java SE, Java SE Embedded de Oracle Java SE (componente: Libraries). Las versiones compatibles que están afectadas son Java SE: 7u271, 8u261, 11.0.8 y 15; Java SE Embedded: 8u261. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java SE, Java SE Embedded. Los ataques con éxito de esta vulnerabilidad pueden resultar en la actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de Java SE, Java SE Embedded. Nota: Aplica a la implementación de cliente y servidor de Java. Esta vulnerabilidad puede ser explotada mediante aplicaciones Java Web Start en sandbox y applets de Java en sandbox. También puede ser explotada al suministrar datos a las API en el Componente especificado sin utilizar aplicaciones Java Web Start en sandbox o applets de Java en sandbox, como mediante un servicio web. CVSS 3.1 Puntuación Base 3.7 (Impactos de la Integridad). Vector CVSS: (CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N)
Vulnerabilidad en la autenticación en SAP Solution Manager y SAP Focused Run (actualización provista en WILY_INTRO_ENTERPRISE) (CVE-2020-6369)
Gravedad:
MediaMedia
Publication date: 20/10/2020
Last modified:
26/10/2020
Descripción:
SAP Solution Manager y SAP Focused Run (actualización provista en WILY_INTRO_ENTERPRISE versiones 9.7, 10.1, 10.5, 10.7), permite a atacantes no autenticados omitir la autenticación si el administrador no ha cambiado las contraseñas predeterminadas para el usuario Admin e Guest. Esto puede afectar la confidencialidad del servicio
Vulnerabilidad en algunas de las funciones comerciales del dispositivo en Taurus-AN00B (CVE-2020-9112)
Gravedad:
MediaMedia
Publication date: 19/10/2020
Last modified:
26/10/2020
Descripción:
Taurus-AN00B versiones anteriores a 10.1.0.156(C00E155R7P2), presentan una vulnerabilidad de elevación de privilegios. Debido a una falta de restricciones de privilegios en algunas de las funciones comerciales del dispositivo. Un atacante podría explotar esta vulnerabilidad para acceder a la información de protección, resultando en la elevación del privilegio
Vulnerabilidad en una URL en los archivos /_matrix/client/r0/auth/m.login.recaptcha o /_matrix /client/r0/auth/m.login.terms en el parámetro GET de sesión en AuthRestServlet en Matrix Synapse (CVE-2020-26891)
Gravedad:
MediaMedia
Publication date: 19/10/2020
Last modified:
26/10/2020
Descripción:
AuthRestServlet en Matrix Synapse versiones anteriores a 1.21.0 es vulnerable a XSS debido a la interpolación insegura del parámetro GET de la sesión. Esto permite a un atacante remoto ejecutar un ataque XSS en el dominio en el que está alojado Synapse, suministrando al usuario víctima una URL maliciosa a los puntos finales de /_matrix/cliente/r0/auth/*/fallback/web o /_matrix/cliente/instable/auth/*/fallback/web Synapse
Vulnerabilidad en la creación de objetos COM en Microsoft Windows (CVE-2020-16916)
Gravedad:
AltaAlta
Publication date: 16/10/2020
Last modified:
26/10/2020
Descripción:
Se presenta una vulnerabilidad de escalada de privilegios cuando Windows maneja inapropiadamente la creación de objetos COM, también se conoce como "Windows COM Server Elevation of Privilege Vulnerability". Este ID de CVE es diferente de CVE-2020-16935
Vulnerabilidad en el Servlet del servidor de aplicaciones en XWiki (CVE-2020-15252)
Gravedad:
AltaAlta
Publication date: 16/10/2020
Last modified:
26/10/2020
Descripción:
En XWiki versiones anteriores a 2.5 y 11.10.6, cualquier usuario con derecho de SCRIPT (EDITA justo antes de XWiki versión 7.4) puede obtener acceso al contexto de Servlet del servidor de aplicaciones que contiene herramientas que permiten crear instancias de objetos Java arbitrarios e invocar métodos que pueden conllevar a una ejecución de código arbitraria. Esto está parcheado en XWiki versión 12.5 y XWiki versión 11.10.6
Vulnerabilidad en la autorización del usuario en las rutas del sistema en diversos dispositivos Bender COMTRAXX (CVE-2019-19885)
Gravedad:
MediaMedia
Publication date: 16/10/2020
Last modified:
26/10/2020
Descripción:
En Bender COMTRAXX, la autorización del usuario es comprobada para la mayoría, pero no para todas, las rutas del sistema. Un usuario con conocimiento de las rutas puede leer y escribir datos de configuración sin autorización previa. Esto afecta a los dispositivos COM465IP, COM465DP, COM465ID, CP700, CP907 y CP915 versiones anteriores a 4.2.0
Vulnerabilidad en el valor de retorno de una llamada strstr() o strchr() en la función Tokenizer() en el binario QCMAP_Web_CLIENT en la suite de software Qualcomm QCMAP (CVE-2020-25858)
Gravedad:
MediaMedia
Publication date: 15/10/2020
Last modified:
26/10/2020
Descripción:
El binario QCMAP_Web_CLIENT en la suite de software Qualcomm QCMAP anteriores a las versiones publicadas en octubre de 2020, no comprueba el valor de retorno de una llamada de strstr() o strchr() en la función Tokenizer(). Un atacante que invoca la interfaz web con una URL diseñada puede bloquear el proceso causando una denegación de servicio. Esta versión de QCMAP es usada en muchos tipos de dispositivos de red, principalmente puntos de acceso móviles y enrutadores LTE

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: