Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un acceso local en el subsistema para Intel® AMT (CVE-2020-8760)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
18/11/2020
Descripción:
Un desbordamiento de enteros en el subsistema para Intel® AMT versiones anteriores a 11.8.80, 11.12.80, 11.22.80, 12.0.70, 14.0.45, puede habilitar a un usuario privilegiado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el subsistema para Intel® AMT (CVE-2020-8757)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
18/11/2020
Descripción:
Una lectura fuera de límites en el subsistema para Intel® AMT versiones anteriores a 11.8.80, 11.12.80, 11.22.80, 12.0.70 y 14.0.45, puede habilitar a un usuario privilegiado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso de red en el subsistema para Intel® AMT e Intel® ISM (CVE-2020-8754)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
18/11/2020
Descripción:
Una lectura fuera de límites en el subsistema para Intel® AMT, Intel® ISM versiones anteriores a 11.8.80, 11.12.80, 11.22.80, 12.0.70 y 14.0.45, pueden habilitar a un usuario no autenticado para permitir potencialmente una divulgación de información por medio de un acceso de red
Vulnerabilidad en un acceso de red en el subsistema IPv6 para Intel® AMT e Intel® ISM (CVE-2020-8752)
Gravedad:
AltaAlta
Publication date: 12/11/2020
Last modified:
18/11/2020
Descripción:
Una escritura fuera de límites en el subsistema IPv6 para Intel® AMT, Intel® ISM versiones anteriores a 11.8.80, 11.12.80, 11.22.80, 12.0.70, 14.0.45, puede habilitar a un usuario no autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso de red
Vulnerabilidad en un acceso adyacente en el subsistema para Intel® AMT (CVE-2020-8749)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
18/11/2020
Descripción:
Una lectura fuera de límites en el subsistema para Intel® AMT versiones anteriores a 11.8.80, 11.12.80, 11.22.80, 12.0.70 y 14.0.45, puede habilitar a un usuario no autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso adyacente
Vulnerabilidad en un acceso de red en el subsistema para Intel® AMT (CVE-2020-8747)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
18/11/2020
Descripción:
Una lectura fuera de límites en el subsistema para Intel® AMT versiones anteriores a 11.8.80, 11.12.80, 11.22.80, 12.0.70 y 14.0.45, puede habilitar a un usuario no autenticado para permitir potencialmente una divulgación de información y/o la negación de servicio por medio de un acceso de red
Vulnerabilidad en un acceso adyacente en el subsistema para Intel® AMT (CVE-2020-8746)
Gravedad:
BajaBaja
Publication date: 12/11/2020
Last modified:
18/11/2020
Descripción:
Un desbordamiento de enteros en el subsistema para Intel® AMT versiones anteriores a 11.8.80, 11.12.80, 11.22.80, 12.0.70 y 14.0.45, puede habilitar a un usuario no autenticado para permitir potencialmente una denegación de servicio por medio de un acceso adyacente
Vulnerabilidad en un acceso local en el subsistema en Intel® AMT (CVE-2020-12356)
Gravedad:
BajaBaja
Publication date: 12/11/2020
Last modified:
18/11/2020
Descripción:
Una lectura fuera de límites en el subsistema en Intel® AMT versiones anteriores a 11.8.80, 11.12.80, 11.22.80, 12.0.70 y 14.0.45, puede habilitar a un usuario privilegiado para permitir potencialmente una divulgación de información por medio de un acceso local
Vulnerabilidad en los servicios DSP en el procesamiento de los argumentos en diversos productos Snapdragon (CVE-2020-11208)
Gravedad:
AltaAlta
Publication date: 12/11/2020
Last modified:
18/11/2020
Descripción:
Un Problema fuera de límites en los servicios DSP mientras se procesan los argumentos recibidos debido a una comprobación inapropiada de la longitud recibida como argumento en versiones SD820, SD821, SD820, QCS603, QCS605, SDA855, SA6155P, SA6145P, SA6155, SA6155P, SD855, SD 675, SD660, SD429, SD439
Vulnerabilidad en Microsoft Internet Explorer (CVE-2020-17053)
Gravedad:
AltaAlta
Publication date: 11/11/2020
Last modified:
18/11/2020
Descripción:
Vulnerabilidad de corrupción de la memoria de Internet Explorer
Vulnerabilidad en WalletService de Microsoft Windows (CVE-2020-16999)
Gravedad:
BajaBaja
Publication date: 11/11/2020
Last modified:
18/11/2020
Descripción:
Vulnerabilidad de Divulgación de Información de Windows WalletService
Vulnerabilidad en Desktop Protocol Client de Windows (CVE-2020-17000)
Gravedad:
BajaBaja
Publication date: 11/11/2020
Last modified:
18/11/2020
Descripción:
Vulnerabilidad de Divulgación de Información de Remote Desktop Protocol Client
Vulnerabilidad en Graphics Component de Microsoft Windows (CVE-2020-17004)
Gravedad:
BajaBaja
Publication date: 11/11/2020
Last modified:
18/11/2020
Descripción:
Vulnerabilidad de Divulgación de Información de Windows Graphics Component
Vulnerabilidad en Error Reporting de Microsoft Windows (CVE-2020-17007)
Gravedad:
MediaMedia
Publication date: 11/11/2020
Last modified:
18/11/2020
Descripción:
Vulnerabilidad de Elevación de Privilegios de Windows Error Reporting
Vulnerabilidad en Win32k de Microsoft Windows (CVE-2020-17010)
Gravedad:
AltaAlta
Publication date: 11/11/2020
Last modified:
18/11/2020
Descripción:
Vulnerabilidad de Elevación de Privilegios de Win32k Este ID de CVE es diferente de CVE-2020-17038
Vulnerabilidad en Port Class Library de Microsoft Windows (CVE-2020-17011)
Gravedad:
AltaAlta
Publication date: 11/11/2020
Last modified:
18/11/2020
Descripción:
Vulnerabilidad de Elevación de Privilegios de Windows Port Class Library
Vulnerabilidad en Win32k de Microsoft (CVE-2020-17013)
Gravedad:
BajaBaja
Publication date: 11/11/2020
Last modified:
18/11/2020
Descripción:
Vulnerabilidad de Divulgación de Información de Win32k
Vulnerabilidad en Network File System de Microsoft Windows (CVE-2020-17056)
Gravedad:
BajaBaja
Publication date: 11/11/2020
Last modified:
18/11/2020
Descripción:
Vulnerabilidad de Divulgación de Información del Network File System de Windows
Vulnerabilidad en Microsoft Browser (CVE-2020-17058)
Gravedad:
AltaAlta
Publication date: 11/11/2020
Last modified:
18/11/2020
Descripción:
Vulnerabilidad de corrupción en la memoria del navegador de Microsoft
Vulnerabilidad en Print Spooler de Microsoft Windows (CVE-2020-17014)
Gravedad:
MediaMedia
Publication date: 11/11/2020
Last modified:
18/11/2020
Descripción:
Vulnerabilidad de Elevación de Privilegios de Windows Print Spooler Este ID de CVE es diferente de CVE-2020-17001
Vulnerabilidad en Win32k de Microsoft Windows (CVE-2020-17057)
Gravedad:
AltaAlta
Publication date: 11/11/2020
Last modified:
18/11/2020
Descripción:
Vulnerabilidad de Elevación de Privilegios de Windows Win32k
Vulnerabilidad en Print Spooler de Microsoft Windows (CVE-2020-17001)
Gravedad:
MediaMedia
Publication date: 11/11/2020
Last modified:
18/11/2020
Descripción:
Vulnerabilidad de Elevación de Privilegios de Windows Print Spooler Este ID de CVE es diferente de CVE-2020-17014
Vulnerabilidad en la funcionalidad question-pool file-upload preview en ILIAS (CVE-2020-25267)
Gravedad:
BajaBaja
Publication date: 10/11/2020
Last modified:
18/11/2020
Descripción:
Se presenta un problema de tipo XSS en la funcionalidad question-pool file-upload preview en ILIAS versión 6.4
Vulnerabilidad en un saneamiento de parámetros en datos Magpie RSS en ILIAS (CVE-2020-25268)
Gravedad:
MediaMedia
Publication date: 10/11/2020
Last modified:
18/11/2020
Descripción:
Una ejecución de código remota, puede ocurrir por medio de la fuente de noticias externa en ILIAS versión 6.4, debido a un saneamiento incorrecto de parámetros para datos Magpie RSS
Vulnerabilidad en la adición de un Componente en el servidor en Dundas BI (CVE-2020-28409)
Gravedad:
BajaBaja
Publication date: 10/11/2020
Last modified:
18/11/2020
Descripción:
El servidor en Dundas BI versiones hasta 8.0.0.1001, permite un ataque de tipo XSS por medio de la adición de un Componente (por ejemplo, un botón) cuando ocurren eventos como hacer clic, desplazarse, etc
Vulnerabilidad en una etiqueta HTML en el servidor en Dundas BI (CVE-2020-28408)
Gravedad:
BajaBaja
Publication date: 10/11/2020
Last modified:
18/11/2020
Descripción:
El servidor en Dundas BI versiones hasta 8.0.0.1001, permite un ataque de tipo XSS por medio de una etiqueta HTML cuando se crea o edita un panel
Vulnerabilidad en Control de Acceso en los componentes de Web Dynpro en SAP NetWeaver AS ABAP (CVE-2020-26819)
Gravedad:
MediaMedia
Publication date: 10/11/2020
Last modified:
18/11/2020
Descripción:
SAP NetWeaver AS ABAP (Web Dynpro), versiones - 731, 740, 750, 751, 752, 753, 754, 755, 782, permite a un usuario autenticado acceder a los componentes de Web Dynpro, lo que luego permite leer y eliminar archivos de registro de la base de datos debido a un Control de Acceso Inapropiado
Vulnerabilidad en los componentes de Web Dynpro en SAP NetWeaver AS ABAP (CVE-2020-26818)
Gravedad:
MediaMedia
Publication date: 10/11/2020
Last modified:
18/11/2020
Descripción:
SAP NetWeaver AS ABAP (Web Dynpro), versiones: 731, 740, 750, 751, 752, 753, 754, 755, 782, permite a un usuario autenticado acceder a los componentes de Web Dynpro, lo que revela información confidencial del sistema que podría de otro modo estar restringido a usuarios altamente privilegiados debido a una falta de autorización, resultando en una Divulgación de Información
Vulnerabilidad en una biblioteca crítica en Trend Micro InterScan Messaging Security Virtual Appliance (IMSVA) (CVE-2020-27694)
Gravedad:
MediaMedia
Publication date: 09/11/2020
Last modified:
24/11/2020
Descripción:
Trend Micro InterScan Messaging Security Virtual Appliance (IMSVA) versión 9.1, ha actualizado una biblioteca crítica específica que puede ser vulnerable a ataques
Vulnerabilidad en el servidor web del producto Trend Micro InterScan Messaging Security Virtual Appliance (IMSVA) (CVE-2020-27018)
Gravedad:
BajaBaja
Publication date: 09/11/2020
Last modified:
24/11/2020
Descripción:
Trend Micro InterScan Messaging Security Virtual Appliance (IMSVA) versión 9.1, es susceptible a una vulnerabilidad de tipo server side request forgery que podría permitir a un atacante autenticado abusar del servidor web del producto y otorgar acceso a recursos web o partes de archivos locales. Un atacante ya debe haber obtenido privilegios autenticados en el producto para explotar esta vulnerabilidad
Vulnerabilidad en Trend Micro InterScan Messaging Security Virtual Appliance (IMSVA) (CVE-2020-27017)
Gravedad:
MediaMedia
Publication date: 09/11/2020
Last modified:
18/11/2020
Descripción:
Trend Micro InterScan Messaging Security Virtual Appliance (IMSVA) versión 9.1, es susceptible a una vulnerabilidad de tipo XML External Entity Processing (XXE) que podría permitir a un administrador autenticado leer archivos locales arbitrarios. Un atacante ya debe haber obtenido privilegios de administrator/root del producto para explotar esta vulnerabilidad
Vulnerabilidad en una página web en las reglas de políticas en Trend Micro InterScan Messaging Security Virtual Appliance (IMSVA) (CVE-2020-27016)
Gravedad:
MediaMedia
Publication date: 09/11/2020
Last modified:
24/11/2020
Descripción:
Trend Micro InterScan Messaging Security Virtual Appliance (IMSVA) versión 9.1, es susceptible a una vulnerabilidad de tipo cross-site request forgery (CSRF) que podría permitir a un atacante modificar las reglas de políticas engañando a un administrador autenticado para que acceda a una página web controlada por el atacante. Un atacante ya debe haber obtenido privilegios de administrator/root del producto para explotar esta vulnerabilidad
Vulnerabilidad en las contraseñas administrativas en Trend Micro InterScan Messaging Security Virtual Appliance (IMSVA) (CVE-2020-27693)
Gravedad:
BajaBaja
Publication date: 09/11/2020
Last modified:
24/11/2020
Descripción:
Trend Micro InterScan Messaging Security Virtual Appliance (IMSVA) versión 9.1, almacena las contraseñas administrativas mediante un hash que es considerado obsoleto
Vulnerabilidad en una base de datos y clave en Trend Micro InterScan Messaging Security Virtual Appliance (IMSVA) (CVE-2020-27019)
Gravedad:
BajaBaja
Publication date: 09/11/2020
Last modified:
18/11/2020
Descripción:
Trend Micro InterScan Messaging Security Virtual Appliance (IMSVA) versión 9.1, es susceptible a una vulnerabilidad de divulgación de información que podría permitir a un atacante acceder a una base de datos y clave específica
Vulnerabilidad en un comentario de un problema de GitHub en la función execute en el Atlassian gajira-comment GitHub Action (CVE-2020-14189)
Gravedad:
AltaAlta
Publication date: 09/11/2020
Last modified:
18/11/2020
Descripción:
La función execute en el Atlassian gajira-comment GitHub Action anterior a versión 2.0.2, permite a atacantes remotos ejecutar código arbitrario en el contexto de un ejecutor de GitHub mediante la creación de un comentario de un problema de GitHub especialmente diseñado
Vulnerabilidad en la creación de un problema de GitHub en la función preprocessArgs en el Atlassian gajira-create GitHub Action (CVE-2020-14188)
Gravedad:
AltaAlta
Publication date: 09/11/2020
Last modified:
18/11/2020
Descripción:
La función preprocessArgs en el Atlassian gajira-create GitHub Action antes de la versión 2.0.1, permite a atacantes remotos ejecutar código arbitrario en el contexto de un ejecutor de GitHub mediante la creación de un problema de GitHub especialmente diseñado
Vulnerabilidad en system-user-dn en el método de autenticación LDAP en LdapLoginModule en Hazelcast IMDG Enterprise (CVE-2020-26168)
Gravedad:
AltaAlta
Publication date: 09/11/2020
Last modified:
18/11/2020
Descripción:
El método de autenticación LDAP en LdapLoginModule en Hazelcast IMDG Enterprise versiones 4.x anteriores a 4.0.3, y Jet Enterprise versiones 4.x anteriores a 4.2, no comprueba apropiadamente la contraseña en algunos escenarios de system-user-dn. Como resultado, los usuarios (clients/members) pueden ser autenticados incluso si proporcionan contraseñas no válidas
Vulnerabilidad en la funcionalidad search en el control de acceso en la visualización de un incidente restringido en Dispatch (CVE-2020-9300)
Gravedad:
MediaMedia
Publication date: 09/11/2020
Last modified:
18/11/2020
Descripción:
Los problemas de Control de Acceso incluyen permitir a un usuario normal visualizar un incidente restringido, escalada de roles de usuario a administrador, usuarios que se agregan a sí mismos como participantes en un incidente restringido y usuarios capaces de visualizar incidentes restringidos por medio de la funcionalidad search. Si su instalación ha seguido las pautas de implementación segura, el riesgo de esto es reducido, ya que esto solo puede ser explotado por un usuario autenticado
Vulnerabilidad en la marca de tiempo de una apertura de una ventana de incógnito en la implementación del sistema de análisis de preservación de la privacidad de Brave Desktop (P3A) (CVE-2020-8276)
Gravedad:
BajaBaja
Publication date: 09/11/2020
Last modified:
18/11/2020
Descripción:
La implementación del sistema de análisis de preservación de la privacidad de Brave Desktop (P3A) versiones entre 1.1 y 1.18.35, registró la marca de tiempo de la última vez que el usuario abrió una ventana de incógnito, incluyendo las ventanas Tor. El comportamiento previsto era registrar la marca de tiempo para las ventanas de incógnito, excluidas las ventanas Tor. Tome en cuenta que si un usuario tiene habilitado P3A, la marca de tiempo no se envía al servidor de Brave, sino un valor from:Used en las últimas 24hUsed en la última semana pero no 24hUsed en los últimos 28 días pero no usaba weekEver pero no en los últimos 28 daysNever usado. El riesgo de la privacidad es bajo porque un atacante local con acceso al disco no puede decir si la marca de tiempo corresponde a una ventana Tor o una ventana de incógnito que no es Tor
Vulnerabilidad en el paquete json8-merge-patch npm (CVE-2020-8268)
Gravedad:
MediaMedia
Publication date: 09/11/2020
Last modified:
18/11/2020
Descripción:
Una vulnerabilidad de contaminación de prototipo en el paquete json8-merge-patch npm versiones anteriores a 1.0.3, puede permitir a atacantes inyectar o modificar métodos y propiedades del constructor de objetos globales
Vulnerabilidad en unas vistas para usuarios administradores en la API ManagedClusterView (CVE-2020-25655)
Gravedad:
MediaMedia
Publication date: 09/11/2020
Last modified:
18/11/2020
Descripción:
Se detectó un problema en la API ManagedClusterView, que podría permitir que sean divulgados secretos a usuarios sin los permisos correctos. Unas vistas creadas para un usuario administrador estarán disponibles durante un breve período de tiempo para los usuarios que solo tengan permiso de visualización. En este breve período de tiempo, el usuario con permiso de visualización podría leer los secretos del clúster que solo deberían ser divulgados a usuarios administradores
Vulnerabilidad en el esquema de cifrado en Nextcloud Server (CVE-2020-8150)
Gravedad:
BajaBaja
Publication date: 09/11/2020
Last modified:
18/11/2020
Descripción:
Un problema criptográfico en Nextcloud Server versión 19.0.1, permitió a un atacante degradar el esquema de cifrado y romper la integridad de los archivos cifrados
Vulnerabilidad en el parámetro PATH_INFO en el archivo index.php en el objeto time_zone en la página HOME_MEETING& en el componente conferencing en los dispositivos Mitel ShoreTel (CVE-2020-28351)
Gravedad:
MediaMedia
Publication date: 09/11/2020
Last modified:
18/11/2020
Descripción:
El componente conferencing en los dispositivos Mitel ShoreTel versión 19.46.1802.0, podría permitir a un atacante no autenticado conducir un ataque de tipo cross-site scripting (XSS) reflejado (por medio del parámetro PATH_INFO en el archivo index.php) debido a una comprobación insuficiente para el objeto time_zone en la página HOME_MEETING&
Vulnerabilidad en mensajes de error en PackageKit (CVE-2020-16121)
Gravedad:
BajaBaja
Publication date: 07/11/2020
Last modified:
18/11/2020
Descripción:
PackageKit proporcionó mensajes de error detallados a llamadores no privilegiados que exponían información sobre la presencia de archivos y mimetype de archivos que el usuario no podría ser capaz de determinar por sí solo
Vulnerabilidad en un navegador en el panel de administración de ad-ldap-connector (CVE-2020-15259)
Gravedad:
MediaMedia
Publication date: 06/11/2020
Last modified:
18/11/2020
Descripción:
El panel de administración de ad-ldap-connector versiones anteriores a 5.0.13, no proporciona una protección csrf, que cuando es explotada puede resultar en una ejecución de código remota o una pérdida de datos confidenciales. Las explotaciones de CSRF pueden ocurrir si el usuario visita una página maliciosa que contiene la carga útil CSRF en la misma máquina que tiene acceso a la consola de administración del ad-ldap-connector por medio de un navegador. Puede estar afectado si utiliza la consola de administración incluida con ad-ldap-connector versiones anteriores a 5.0.12 e incluyéndola. Si no tiene habilitada la consola de administración o no visita ninguna otra URL pública mientras está en la máquina en la que está instalada, no está afectada. El problema es corregido en la versión 5.0.13
Vulnerabilidad en un archivo ARF o WRF en Cisco Webex Network Recording Player y Cisco Webex Player para Windows (CVE-2020-3604)
Gravedad:
AltaAlta
Publication date: 06/11/2020
Last modified:
18/11/2020
Descripción:
Múltiples vulnerabilidades en Cisco Webex Network Recording Player para Windows y Cisco Webex Player para Windows, podrían permitir a un atacante ejecutar código arbitrario en un sistema afectado. Las vulnerabilidades son debido a una comprobación insuficiente de determinados elementos de una grabación de Webex que es almacenada en Advanced Recording Format (ARF) o Webex Recording Format (WRF). Un atacante podría explotar estas vulnerabilidades al enviar a un usuario un archivo ARF o WRF malicioso por medio de un enlace o archivo adjunto de correo electrónico y persuadiendo al usuario a abrir el archivo con el software afectado en el sistema local. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario en el sistema afectado con los privilegios del usuario apuntado

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la función String en el decodificador UTF-16 en el paquete x/text en Go (CVE-2020-14040)
Gravedad:
MediaMedia
Publication date: 17/06/2020
Last modified:
18/11/2020
Descripción:
El paquete x/text anterior a la versión 0.3.3 para Go tiene una vulnerabilidad en la codificación/unicode que podría llevar al decodificador UTF-16 a ingresar en un bucle infinito, causando que el programa se bloquee o se ejecute fuera de la memoria. Un atacante podría proporcionar un solo byte a un decodificador UTF16 instanciado con UseBOM o ExpectBOM para activar un bucle infinito si se llama a la función String en el Decoder, o el Decoder es pasado a golang.org/x/text/transform.String
Vulnerabilidad en mensajes de error en el procesador de interpolación de mensajes en expresiones EL en Hibernate Validator (CVE-2020-10693)
Gravedad:
MediaMedia
Publication date: 06/05/2020
Last modified:
18/11/2020
Descripción:
Se encontró un fallo en Hibernate Validator versión 6.1.2.Final. Un error en el procesador de interpolación de mensajes permite evaluar expresiones EL no válidas como si fueran válidas. Este fallo permite a atacantes omitir los controles de saneamiento de entrada (escape, despojo) que los desarrolladores pueden haber implementado cuando manejan datos controlados por el usuario en mensajes de error.