Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un archivo en IBM i2 Analyst Notebook (CVE-2020-4724)
Gravedad:
AltaAlta
Publication date: 29/10/2020
Last modified:
30/10/2020
Descripción:
IBM i2 Analyst Notebook versiones 9.2.0 y 9.2.1, podrían permitir a un atacante local ejecutar código arbitrario en el sistema, causado por una corrupción de la memoria. Al persuadir a una víctima a abrir un archivo especialmente diseñado, un atacante podría explotar esta vulnerabilidad para ejecutar código arbitrario en el sistema
Vulnerabilidad en un archivo en IBM i2 Analyst Notebook (CVE-2020-4721)
Gravedad:
AltaAlta
Publication date: 29/10/2020
Last modified:
30/10/2020
Descripción:
IBM i2 Analyst Notebook versiones 9.2.0 y 9.2.1, podrían permitir a un atacante local ejecutar código arbitrario en el sistema, causado por una corrupción de la memoria. Al persuadir a una víctima a abrir un archivo especialmente diseñado, un atacante podría explotar esta vulnerabilidad para ejecutar código arbitrario en el sistema. IBM X-Force ID: 187868
Vulnerabilidad en un archivo en IBM i2 Analyst Notebook (CVE-2020-4723)
Gravedad:
AltaAlta
Publication date: 29/10/2020
Last modified:
30/10/2020
Descripción:
IBM i2 Analyst Notebook versiones 9.2.0 y 9.2.1, podrían permitir a un atacante local ejecutar código arbitrario en el sistema, causado por una corrupción de la memoria. Al persuadir a una víctima a abrir un archivo especialmente diseñado, un atacante podría explotar esta vulnerabilidad para ejecutar código arbitrario en el sistema. IBM X-Force ID: 187873
CVE-2020-4722
Gravedad:
AltaAlta
Publication date: 29/10/2020
Last modified:
30/10/2020
Descripción:
IBM i2 Analyst Notebook versiones 9.2.0 y 9.2.1, podrían permitir a un atacante local ejecutar código arbitrario en el sistema, causado por una corrupción de la memoria. Al persuadir a una víctima a abrir un archivo especialmente diseñado, un atacante podría explotar esta vulnerabilidad para ejecutar código arbitrario en el sistema. IBM X-Force ID: 187870
Vulnerabilidad en un enlace http:// en tokens de autorización o cookies de sesión en IBM Security Directory Server (CVE-2019-4563)
Gravedad:
MediaMedia
Publication date: 29/10/2020
Last modified:
30/10/2020
Descripción:
IBM Security Directory Server 6.4.0, no establece el atributo seguro en tokens de autorización o cookies de sesión. Los atacantes pueden ser capaces de obtener los valores de las cookies mediante el envío de un enlace http:// hacia un usuario o al colocar este enlace en un sitio al que el usuario accede. La cookie será enviada hacia el enlace no seguro y el atacante podrá obtener el valor de la cookie rastreando el tráfico. IBM X-Force ID: 166624
Vulnerabilidad en un mensaje de error en IBM Security Directory Server (CVE-2019-4547)
Gravedad:
MediaMedia
Publication date: 29/10/2020
Last modified:
30/10/2020
Descripción:
IBM Security Directory Server versión 6.4.0, genera un mensaje de error que incluye información confidencial sobre su entorno, usuarios o datos asociados. IBM X-Force ID: 165949
Vulnerabilidad en una dirección IP de origen en IBM Resilient SOAR (CVE-2020-4864)
Gravedad:
BajaBaja
Publication date: 29/10/2020
Last modified:
30/10/2020
Descripción:
IBM Resilient SOAR versión V38.0, podría permitir a un atacante en la red interna proporcionar al servidor una dirección IP de origen falsificada. IBM X-Force ID: 190567
Vulnerabilidad en la creación de sheets CSV en Gophish (CVE-2020-24707)
Gravedad:
AltaAlta
Publication date: 28/10/2020
Last modified:
30/10/2020
Descripción:
Gophish versiones anteriores a 0.11.0, permite la creación de sheets CSV que contienen contenido malicioso
Vulnerabilidad en la comprobación de la cookie de Gophish (CVE-2020-24713)
Gravedad:
MediaMedia
Publication date: 28/10/2020
Last modified:
30/10/2020
Descripción:
Gophish versiones hasta 0.10.1, no comprueba la cookie de gophish tras cerrar la sesión
Vulnerabilidad en el campo Host IMAP en la página de configuración de la cuenta en Gophish (CVE-2020-24712)
Gravedad:
BajaBaja
Publication date: 28/10/2020
Last modified:
30/10/2020
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Gophish versiones anteriores a 0.11.0, por medio del campo Host IMAP en la página de configuración de la cuenta
Vulnerabilidad en la página Account Settings en Gophish (CVE-2020-24711)
Gravedad:
MediaMedia
Publication date: 28/10/2020
Last modified:
30/10/2020
Descripción:
El botón Reset en la página Account Settings en Gophish versiones anteriores a 0.11.0, permite a atacantes causar una denegación de servicio por medio de un ataque de secuestro del clic
Vulnerabilidad en Gophish (CVE-2020-24710)
Gravedad:
MediaMedia
Publication date: 28/10/2020
Last modified:
30/10/2020
Descripción:
Gophish versiones anteriores a 0.11.0, permite ataques de tipo SSRF
Vulnerabilidad en el envío de una petición URL en IBM WebSphere Application Server (CVE-2020-4782)
Gravedad:
MediaMedia
Publication date: 28/10/2020
Last modified:
30/10/2020
Descripción:
IBM WebSphere Application Server versiones 7.0, 8.0, 8.5 y 9.0, podría permitir a un atacante remoto saltar directorios en el sistema. Un atacante podría enviar una petición URL especialmente diseñada que contenga secuencias "dot dot" (/../) para visualizar archivos arbitrarios en el sistema
Vulnerabilidad en el envío de una petición en IBM Sterling Connect Direct para Microsoft Windows (CVE-2020-4767)
Gravedad:
MediaMedia
Publication date: 28/10/2020
Last modified:
30/10/2020
Descripción:
IBM Sterling Connect Direct para Microsoft Windows versiones 4.7, 4.8, 6.0 y 6.1, podría permitir a un atacante remoto causar una denegación de servicio, causada por una lectura excesiva del búfer. Mediante el envío de una petición especialmente diseñada, el atacante podría causar que la aplicación se bloquee. IBM X-Force ID: 188906
Vulnerabilidad en el archivo CGI en Pulse Connect Secure (CVE-2020-8263)
Gravedad:
BajaBaja
Publication date: 28/10/2020
Last modified:
30/10/2020
Descripción:
Una vulnerabilidad en la interfaz de usuario web autenticado de Pulse Connect Secure versiones anteriores a 9.1R9, podría permitir a atacantes conducir ataques de tipo Cross-Site Scripting (XSS) por medio del archivo CGI
Vulnerabilidad en una extracción gzip en la interfaz web de administración en Pulse Connect Secure (CVE-2020-8260)
Gravedad:
MediaMedia
Publication date: 28/10/2020
Last modified:
30/10/2020
Descripción:
Una vulnerabilidad en la interfaz web de administración en Pulse Connect Secure versiones anteriores a 9.1R9, podría permitir a un atacante autenticado llevar a cabo una ejecución de código arbitraria usando una extracción gzip no controlada
Vulnerabilidad en el uso de blacklisting de URL en la interfaz web de administración Pulse Connect Secure (CVE-2020-8255)
Gravedad:
MediaMedia
Publication date: 28/10/2020
Last modified:
30/10/2020
Descripción:
Una vulnerabilidad en la interfaz web de administración Pulse Connect Secure versiones anteriores a 9.1R9, podría permitir a un atacante autenticado llevar a cabo una lectura de archivos arbitraria. La vulnerabilidad es corregida usando blacklisting de URL cifrada que impiden estos mensajes
Vulnerabilidad en Pulse Secure Desktop Client (Linux) (CVE-2020-8250)
Gravedad:
MediaMedia
Publication date: 28/10/2020
Last modified:
30/10/2020
Descripción:
Una vulnerabilidad en Pulse Secure Desktop Client (Linux) versiones anteriores a 9.1R9, podría permitir a atacantes locales escalar privilegios
Vulnerabilidad en Pulse Secure Desktop Client (Linux) (CVE-2020-8248)
Gravedad:
MediaMedia
Publication date: 28/10/2020
Last modified:
30/10/2020
Descripción:
Una vulnerabilidad en Pulse Secure Desktop Client (Linux) versiones anteriores a 9.1R9, podría permitir a atacantes locales escalar privilegios
Vulnerabilidad en el sistema en SonicWall Global VPN (CVE-2020-5145)
Gravedad:
MediaMedia
Publication date: 28/10/2020
Last modified:
30/10/2020
Descripción:
Un cliente SonicWall Global VPN versiones 4.10.4.0314 y anteriores, presenta una vulnerabilidad de carga de biblioteca no segura (secuestro de DLL). La explotación con éxito podría conllevar a una ejecución de código remota en el sistema objetivo
Vulnerabilidad en La funcionalidad de búsqueda del tema Greenmart (CVE-2020-16140)
Gravedad:
MediaMedia
Publication date: 27/10/2020
Last modified:
30/10/2020
Descripción:
La funcionalidad de búsqueda del tema Greenmart versión 2.4.2 para WordPress es vulnerable a XSS

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el componente file upload en Magento (CVE-2020-24408)
Gravedad:
MediaMedia
Publication date: 16/10/2020
Last modified:
08/11/2020
Descripción:
Magento versiones 2.4.0 y 2.3.5p1 (y anteriores) están afectadas por una vulnerabilidad de tipo XSS persistente que permite a usuarios cargar JavaScript malicioso por medio del componente file upload. Un atacante no autenticado podría abusar de esta vulnerabilidad para ejecutar ataques de tipo XSS contra otros usuarios de Magento. Esta vulnerabilidad requiere que la víctima busque el archivo cargado
Vulnerabilidad en Python (CVE-2019-9636)
Gravedad:
MediaMedia
Publication date: 08/03/2019
Last modified:
29/10/2020
Descripción:
Python, en las versiones 2.7.x hasta la 2.7.16 y en las 3.x hasta la 3.7.2, se ve afectado por lo siguiente: Gestión incorrecta de codificación Unicode (con un netloc incorrecto) durante la normalización NFKC. Su impacto provoca: la divulgación de información (credenciales, cookies, etc, que estén cacheados contra un determinado nombre de host). Los componentes son los siguientes: urllib.parse.urlsplit y urllib.parse.urlparse. El vector de ataque es el siguiente: una URL especialmente manipulada puede analizarse sintácticamente de manera incorrecta para localizar cookies o datos de autenticación y enviar dicha información a un host distinto con respecto a cuando se analiza de manera correcta. Esta corregido en las versiones: v2.7.17, v2.7.17rc1, v2.7.18, v2.7.18rc1; v3.5.10, v3.5.10rc1, v3.5.7, v3.5.8, v3.5.8rc1, v3.5.8rc2, v3.5.9; v3.6.10, v3.6.10rc1, v3.6.11, v3.6.11rc1, v3.6.12, v3.6.9, v3.6.9rc1; v3.7.3, v3.7.3rc1, v3.7.4, v3.7.4rc1, v3.7.4rc2, v3.7.5, v3.7.5rc1, v3.7.6, v3.7.6rc1, v3.7.7, v3.7.7rc1, v3.7.8, v3.7.8rc1, v3.7.9
Vulnerabilidad en Modules/_pickle.c en Python (CVE-2018-20406)
Gravedad:
MediaMedia
Publication date: 23/12/2018
Last modified:
29/10/2020
Descripción:
Modules/_pickle.c en Python, en versiones anteriores a la 3.7.1, tiene un desbordamiento de enteros mediante un valor LONG_BINPUT largo que se gestiona de manera incorrecta durante un intento de "redimensionar al tamaño doble". Este problema podría provocar el agotamiento de memoria, pero solo es relevante si el formato picke se emplea para serializar decenas o cientos de gigabytes de datos.Este problema está resuelto en las versiones: v3.4.10, v3.4.10rc1; v3.5.10, v3.5.10rc1, v3.5.7, v3.5.7rc1, v3.5.8, v3.5.8rc1, v3. 5.8rc2, v3.5.9; v3.6.10, v3.6.10rc1, v3.6.11, v3.6.11rc1, v3.6.12, v3.6.7, v3.6.7rc1, v3.6.7rc2, v3.6.6. 8, v3.6.8rc1, v3.6.9, v3.6.9rc1; v3.7.1, v3.7.1rc1, v3.7.1rc2, v3.7.2, v3.7.2rc1, v3.7.3, v3.7.3rc1, v3.7. 4, v3.7.4rc1, v3.7.4rc2, v3.7.5, v3.7.5rc1, v3.7.6, v3.7.6rc1, v3.7.7, v3.7.7rc1, v3.7.8, v3.7.8rc1, v3.7.9.