Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la API de mensajes /ajax/messaging/message en OX App Suite (CVE-2020-15002)
Gravedad:
MediaMedia
Publication date: 23/10/2020
Last modified:
26/10/2020
Descripción:
OX App Suite versiones hasta 7.10.3, permite un ataque de tipo SSRF por medio de la API de mensajes /ajax/messaging/message
Vulnerabilidad en la API de sesión en el acceso a la Unidad compartida en OX App Suite (CVE-2020-15003)
Gravedad:
MediaMedia
Publication date: 23/10/2020
Last modified:
26/10/2020
Descripción:
OX App Suite versiones hasta 7.10.3, permite una Exposición de Información porque un usuario puede obtener la dirección IP y la cadena User-Agent de un usuario diferente (por medio de la API de sesión durante el acceso a la Unidad compartida)
Vulnerabilidad en stats/diagnostic?param= en OX App Suite (CVE-2020-15004)
Gravedad:
BajaBaja
Publication date: 23/10/2020
Last modified:
26/10/2020
Descripción:
OX App Suite versiones hasta 7.10.3, permite un ataque de tipo XSS de stats/diagnostic?param=
Vulnerabilidad en la comprobación de longitud en varias primitivas criptográficas en Network Security Services (NSS) (CVE-2019-17006)
Gravedad:
AltaAlta
Publication date: 22/10/2020
Last modified:
26/10/2020
Descripción:
En Network Security Services (NSS) versiones anteriores a 3.46, varias primitivas criptográficas presentaban una falta de comprobación de longitud. En los casos en que la aplicación que llama a la biblioteca no llevó a cabo una comprobación de saneo en las entradas, lo que podría resultar en un bloqueo debido a un desbordamiento del búfer
Vulnerabilidad en una Secuencia de Certificados Netscape en Network Security Services (CVE-2019-17007)
Gravedad:
MediaMedia
Publication date: 22/10/2020
Last modified:
26/10/2020
Descripción:
En Network Security Services versiones anteriores a 3.44, una Secuencia de Certificados Netscape malformado puede causar que NSS se bloquee, resultando en una denegación de servicio
Vulnerabilidad en un inicio de sesión en macOS Catalina de Apple (CVE-2020-9935)
Gravedad:
MediaMedia
Publication date: 22/10/2020
Last modified:
26/10/2020
Descripción:
Se abordó un problema lógico con una administración de estado mejorada. Este problema se corrigió en macOS Catalina versión 10.15.6. Un usuario puede iniciar sesión inesperadamente en la cuenta de otro usuario
Vulnerabilidad en el procesamiento de una imagen en diversos productos de Apple (CVE-2020-9937)
Gravedad:
MediaMedia
Publication date: 22/10/2020
Last modified:
26/10/2020
Descripción:
Se abordó un problema de escritura fuera de límites con una comprobación de límites mejorada. Este problema se corrigió en iOS versión 13.6 y iPadOS versión 13.6, macOS Catalina versión 10.15.6, tvOS versión 13.4.8, watchOS versión 6.2.8, iTunes versión 12.10.8 para Windows, iCloud para Windows versión 11.3, iCloud para Windows versión 7.20. El procesamiento de una imagen diseñada maliciosamente puede conllevar a una ejecución de código arbitraria
Vulnerabilidad en una aplicación en el manejo de rutas en diversos producto de Apple (CVE-2020-9994)
Gravedad:
MediaMedia
Publication date: 22/10/2020
Last modified:
26/10/2020
Descripción:
Se abordó un problema de manejo de rutas con una comprobación mejorada. Este problema se corrigió en iOS versión 13.5 y iPadOS versión 13.5, macOS versión Catalina versión 10.15.5, tvOS versión 13.4.5, watchOS versión 6.2.5. Una aplicación maliciosa puede sobrescribir archivos arbitrarios
Vulnerabilidad en una aplicación en la administración de estado en macOS Catalina de Apple (CVE-2020-9997)
Gravedad:
MediaMedia
Publication date: 22/10/2020
Last modified:
26/10/2020
Descripción:
Se abordó un problema de divulgación de información con una administración de estado mejorada. Este problema se corrigió en macOS Catalina versión 10.15.6, watchOS versión 6.2.8. Una aplicación maliciosa puede revelar memoria restringida
Vulnerabilidad en el manejo de la memoria en macOS Catalina de Apple (CVE-2020-9869)
Gravedad:
MediaMedia
Publication date: 22/10/2020
Last modified:
26/10/2020
Descripción:
Se abordó un problema de corrupción de la memoria con un manejo de la memoria mejorada. Este problema es corregido en macOS Catalina versión 10.15.6. Un atacante remoto puede causar un cierre inesperado de la aplicación
Vulnerabilidad en el archivo admin/dump.php en AtomXCMS (CVE-2020-26650)
Gravedad:
MediaMedia
Publication date: 22/10/2020
Last modified:
26/10/2020
Descripción:
AtomXCMS versión 2.0, está afectado por una Lectura Arbitraria de Archivos mediante el archivo admin/dump.php
Vulnerabilidad en las funciones wfMessage, Html::rawElement y CosmosSocialProfile::getUserGroups en el Cosmos Skin para MediaWiki (CVE-2020-27620)
Gravedad:
MediaMedia
Publication date: 22/10/2020
Last modified:
26/10/2020
Descripción:
El Cosmos Skin para MediaWiki versiones hasta 1.35.0, presenta una vulnerabilidad de tipo XSS almacenado porque los mensajes de MediaWiki no se escapaban apropiadamente. Esto está relacionado con las funciones wfMessage y Html::rawElement, como es demostrado en la función CosmosSocialProfile::getUserGroups
Vulnerabilidad en el parámetro POST en la interfaz de administración del componente "publisher" en WSO2 API Manager (CVE-2020-17454)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
WSO2 API Manager versiones 3.1.0 y anteriores, presenta una vulnerabilidad de tipo XSS reflejado en la interfaz de administración del componente "publisher". Más precisamente, es posible inyectar una carga útil XSS en el parámetro POST del propietario, que no filtra las entradas del usuario. Al colocar una carga útil XSS en lugar de un Nombre de Propietario válido, aparece un cuadro modal que escribe un mensaje de error concatenado con la carga útil inyectada (sin ningún tipo de codificación de datos). Esto también puede ser explotado por medio de un ataque de tipo CSRF
Vulnerabilidad en la interfaz de servicios web de Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD) Software (CVE-2020-3436)
Gravedad:
AltaAlta
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Una vulnerabilidad en la interfaz de servicios web de Cisco Adaptive Security Appliance (ASA) y Cisco Firepower Threat Defense (FTD) Software, podría permitir a un atacante remoto no autenticado cargar archivos de tamaño arbitrario en carpetas específicas en un dispositivo afectado, que podría conllevar a una recarga inesperada del dispositivo. La vulnerabilidad se presenta porque el software afectado no maneja de manera eficiente la escritura de archivos de gran tamaño en carpetas específicas en el sistema de archivos local. Un atacante podría explotar esta vulnerabilidad mediante la carga de archivos en esas carpetas específicas. Una explotación con éxito podría permitir a un atacante escribir un archivo que desencadena un tiempo de espera del watchdog, lo que causaría la recarga inesperada del dispositivo, causando una condición de denegación de servicio (DoS)
Vulnerabilidad en Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer) (CVE-2020-14845)
Gravedad:
MediaMedia
Publication date: 21/10/2020
Last modified:
26/10/2020
Descripción:
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones soportadas que están afectadas son 8.0.21 y anteriores. La vulnerabilidad fácilmente explotable permite que un atacante de alto privilegio con acceso a la red a través de múltiples protocolos comprometa a MySQL Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar un cuelgue o un bloqueo frecuentemente repetible (DOS completo) de MySQL Server. CVSS 3.1 Puntuación básica 4.9 (Impactos de disponibilidad). Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H)

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Environment Mgmt Console) (CVE-2020-14564)
Gravedad:
MediaMedia
Publication date: 15/07/2020
Last modified:
01/12/2020
Descripción:
Vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Environment Mgmt Console). Las versiones compatibles que están afectadas son 8.56, 8.57 y 8.58. La vulnerabilidad explotable fácilmente permite a un atacante con privilegios elevados con acceso de red por medio de HTTP comprometer a PeopleSoft Enterprise PeopleTools. Los ataques exitosos de esta vulnerabilidad pueden dar lugar a que se actualice, inserte o elimine sin autorización el acceso a algunos de los datos accesibles de PeopleSoft Enterprise PeopleTools. CVSS 3.1 Puntuación básica 2.7 (Impactos en la integridad) Vector CVSS: (CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:N/I:L/A:N)