Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un acceso local en el instalador para las herramientas Intel® Advisor (CVE-2020-12334)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Unos permisos inapropiados en el instalador para las herramientas Intel® Advisor anterior al Update 2 de la versión 2020, pueden habilitar a un usuario autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el Intel® HID Event Filter Driver (CVE-2020-12332)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Unos permisos inapropiados en el instalador para el Intel® HID Event Filter Driver, todas las versiones, pueden habilitar a un usuario autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en algunos controladores Intel® Thunderbolt™ DCH para Windows (CVE-2020-12328)
Gravedad:
BajaBaja
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Un fallo del mecanismo de protección en algunos controladores Intel® Thunderbolt™ DCH para Windows* anterior a versión 72, puede habilitar a un usuario privilegiado para permitir potencialmente una divulgación de información por medio de un acceso local
Vulnerabilidad en un acceso local en algunos controladores Intel® Thunderbolt™ DCH para Windows (CVE-2020-12327)
Gravedad:
BajaBaja
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Una inicialización de variable predeterminada no segura en algunos controladores Intel® Thunderbolt™ DCH para Windows* anterior a versión 72, puede habilitar a un usuario privilegiado para permitir potencialmente una divulgación de información por medio de un acceso local
Vulnerabilidad en un acceso local en algunos controladores Intel® Thunderbolt™ DCH para Windows (CVE-2020-12326)
Gravedad:
BajaBaja
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Una inicialización incorrecta en algunos controladores Intel® Thunderbolt™ DCH para Windows* anterior a versión 72, puede habilitar a un usuario autenticado para permitir potencialmente una divulgación de información por medio de un acceso local
Vulnerabilidad en un acceso local en algunos controladores Intel® Thunderbolt™ DCH para Windows (CVE-2020-12325)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Unas restricciones de búfer inadecuadas en algunos controladores Intel® Thunderbolt™ DCH para Windows* anterior a versión 72, pueden habilitar a un usuario autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en algunos controladores Intel® Thunderbolt™ DCH para Windows (CVE-2020-12324)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Unas fallo del mecanismo de protección en algunos controladores Intel® Thunderbolt™ DCH para Windows* anterior a versión 72, puede habilitar a un usuario autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el instalador de Windows® en Intel® AMT SDK (CVE-2020-12354)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Los permisos predeterminados incorrectos en el instalador de Windows® en Intel® AMT SDK versiones anteriores a 14.0.0.1, pueden habilitar a un usuario autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el Instalador para Intel® CSME Driver para Windows e Intel TXE (CVE-2020-12297)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Un control de acceso inapropiado en el Instalador para Intel® CSME Driver para Windows versiones anteriores a 11.8.80, 11.12.80, 11.22.80, 12.0.70, 13.0.40, 13.30.10, 14.0.45 y 14.5.25, Intel TXE versiones 3.1.80, 4.0.30, pueden habilitar a un usuario autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso adyacente en algunos productos Intel® Wireless Bluetooth ® (CVE-2020-12322)
Gravedad:
BajaBaja
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Una comprobación inapropiada de la entrada en algunos productos Intel® Wireless Bluetooth® anterior a versión 21.110, puede habilitar a un usuario no autenticado para permitir potencialmente una denegación de servicio por medio de un acceso adyacente
Vulnerabilidad en un acceso físico en el firmware de algunos Intel® Client SSDs y algunos Intel® Data Center SSDs (CVE-2020-12310)
Gravedad:
BajaBaja
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Una administración del flujo de control insuficiente en el firmware de algunos Intel® Client SSDs y algunos Intel® Data Center SSDs puede habilitar a un usuario no autenticado para permitir potencialmente una divulgación de información por medio de un acceso físico
Vulnerabilidad en un acceso físico en el subsistema de algunos Intel® Client SSDs y algunos Intel® Data Center SSDs (CVE-2020-12309)
Gravedad:
BajaBaja
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Unas credenciales protegidas insuficientemente en el subsistema de algunos Intel® Client SSDs y algunos Intel® Data Center SSDs pueden habilitar a un usuario no autenticado para permitir potencialmente una divulgación de información por medio de un acceso físico
Vulnerabilidad en un acceso de red en Intel® Computing Improvement Program (CVE-2020-12308)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Un control de acceso inapropiado para Intel® Computing Improvement Program versiones anteriores a 2.4.5982, puede habilitar a un usuario no privilegiado para permitir potencialmente una divulgación de información por medio de un acceso de red
Vulnerabilidad en un acceso local en algunos controladores Intel® High Definition Audio (CVE-2020-12307)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Unos permisos inapropiados en algunos controladores Intel® High Definition Audio versiones anteriores a 9.21.00.4561, pueden habilitar a un usuario autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en Intel® RealSense™ D400 Series Dynamic Calibration Tool (CVE-2020-12306)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Los permisos predeterminados incorrectos en Intel® RealSense™ D400 Series Dynamic Calibration Tool versiones anteriores a 2.11, pueden habilitar a un usuario autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el instalador Intel® DAL SDK para Windows (CVE-2020-12304)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Un control de acceso inapropiado en el instalador para Intel® DAL SDK versiones anteriores a 2.1 para Windows puede habilitar a un usuario autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el subsistema DAL para Intel® CSME e Intel® TXE (CVE-2020-12303)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Un uso de la memoria previamente liberada en el subsistema DAL para Intel® CSME versiones anteriores a 11.8.80, 11.12.80, 11.22.80, 12.0.70, 13.0.40, 13.30.10, 14.0.45 y 14.5.25, Intel® TXE versiones 3.1.80, 4.0.30 puede habilitar a un usuario autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso local
CVE-2020-12355
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Una omisión de autenticación por medio de capture-replay en el subsistema de autenticación de mensajes del protocolo RPMB en Intel® TXE versiones anteriores a 4.0.30, puede habilitar a un usuario no autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso físico
Vulnerabilidad en un acceso físico en el firmware Intel® Stratix® 10 FPGA proporcionado con el software Intel® Quartus® Prime Pro (CVE-2020-8737)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Unas restricciones de búfer inapropiadas en el firmware Intel® Stratix® 10 FPGA proporcionado con el software Intel® Quartus® Prime Pro versiones anteriores a 20.1, pueden habilitar a un usuario no autenticado para permitir potencialmente una escalada de privilegios y/o una divulgación de información por medio de un acceso físico
Vulnerabilidad en un acceso local en el código de muestra de la plataforma Intel BIOS para algunos Intel® Processors (CVE-2020-8738)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
26/01/2021
Descripción:
Una comprobación de condiciones inapropiadas en el código de muestra de la plataforma Intel BIOS para algunos Intel® Processors antes puede habilitar a un usuario privilegiado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso físico en el subsistema para Intel® CSME e Intel® TXE (CVE-2020-8745)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Una administración de flujo de control insuficiente en el subsistema para Intel® CSME versiones anteriores a 11.8.80, 11.12.80, 11.22.80, 12.0.70, 13.0.40, 13.30.10, 14.0.45 y 14.5.25, Intel® TXE versiones anteriores a 3.1.80 y 4.0.30, pueden habilitar a un usuario no autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso físico
Vulnerabilidad en un acceso físico en el subsistema para Intel® CSME e Intel® TXE (CVE-2020-8751)
Gravedad:
BajaBaja
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Una administración del flujo de control insuficiente en el subsistema para Intel® CSME versiones anteriores a 11.8.80, Intel® TXE versiones anteriores a 3.1.80, puede habilitar a un usuario no autenticado para permitir potencialmente una divulgación de información por medio de un acceso físico
Vulnerabilidad en un acceso de red en el subsistema DHCP para Intel® AMT e Intel® ISM (CVE-2020-8753)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Una lectura fuera de límites en el subsistema DHCP para Intel® AMT, Intel® ISM versiones anteriores a 11.8.80, 11.12.80, 11.22.80, 12.0.70 y 14.0.45, puede habilitar a un usuario no autenticado para permitir potencialmente una divulgación de información por medio de un acceso de red
Vulnerabilidad en un acceso local en el subsistema para Intel® CSME (CVE-2020-8756)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Una comprobación inapropiada de la entrada en el subsistema para Intel® CSME versiones anteriores a 11.8.80, 11.12.80, 11.22.80, 12.0.70 y 14.0.45 puede habilitar a un usuario privilegiado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en la función de procesamiento de paquetes de entrada del software Cisco IOS XR para Cisco ASR 9000 Series Aggregation Services Routers (CVE-2020-26070)
Gravedad:
AltaAlta
Publication date: 11/11/2020
Last modified:
24/11/2020
Descripción:
Una vulnerabilidad en la función de procesamiento de paquetes de entrada de Cisco IOS XR Software para Cisco ASR 9000 Series Aggregation Services Routers, podría permitir a un atacante remoto no autenticado causar una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad es debido a una asignación inapropiada de recursos cuando un dispositivo afectado procesa el tráfico de red en modo de switching de software (punteado). Un atacante podría explotar esta vulnerabilidad mediante el envío de secuencias específicas de unidades de datos de protocolo (PDU) de capa 2 o capa 3 hacia un dispositivo afectado. Un explotación con éxito podría causar a un dispositivo afectado quedarse sin recursos de búfer, que podría hacer que el dispositivo se inhabilite para procesar o reenviar el tráfico, resultando en una condición DoS. El dispositivo deberá ser reiniciado para recuperar la funcionalidad
Vulnerabilidad en la autenticación basada en certificados en el componente GlobalProtect SSL VPN del software PAN-OS de Palo Alto Networks (CVE-2020-2050)
Gravedad:
MediaMedia
Publication date: 11/11/2020
Last modified:
24/11/2020
Descripción:
Se presenta una vulnerabilidad de omisión de autenticación en el componente GlobalProtect SSL VPN del software PAN-OS de Palo Alto Networks, que permite a un atacante omitir todas las comprobaciones de certificados de clientes con un certificado no válido. Un atacante remoto puede autenticarse con éxito como cualquier usuario y conseguir acceso a los recursos de red VPN restringidos cuando la puerta de enlace o el portal están configurados para depender completamente de la autenticación basada en certificados. Las características afectadas que usan SSL VPN con verificación de certificado de cliente son: GlobalProtect Gateway, GlobalProtect Portal, GlobalProtect Clientless VPN. En configuraciones donde la verificación de certificado de cliente es usada en conjunto con otros métodos de autenticación, las protecciones agregadas por la verificación de certificado son ignoradas como resultado de este problema. Este problema afecta: versiones PAN-OS 8.1 anteriores a PAN-OS 8.1.17; versiones PAN-OS 9.0 anteriores a PAN-OS 9.0.11; versiones PAN-OS 9.1 anteriores a PAN-OS 9.1.5; versiones PAN-OS 10.0 anteriores a PAN-OS 10.0.1
Vulnerabilidad en Windows Camera Codec de Microsoft Windows (CVE-2020-17113)
Gravedad:
BajaBaja
Publication date: 11/11/2020
Last modified:
24/11/2020
Descripción:
Vulnerabilidad de divulgación de información de códec de cámara de Windows
Vulnerabilidad en AV1 Video Extension de Microsoft (CVE-2020-17105)
Gravedad:
AltaAlta
Publication date: 11/11/2020
Last modified:
24/11/2020
Descripción:
Vulnerabilidad de ejecución de código remoto de la extensión de video AV1
Vulnerabilidad en JSHint Extension en Microsoft Visual Studio Code (CVE-2020-17104)
Gravedad:
AltaAlta
Publication date: 11/11/2020
Last modified:
24/11/2020
Descripción:
Vulnerabilidad de ejecución remota de código de Visual Studio Code JSHint Extension
Vulnerabilidad en Azure Sphere de Microsoft (CVE-2020-16993)
Gravedad:
MediaMedia
Publication date: 11/11/2020
Last modified:
24/11/2020
Descripción:
Vulnerabilidad de elevación de privilegios de Azure Sphere Este ID de CVE es diferente de CVE-2020-16981, CVE-2020-16988, CVE-2020-16989, CVE-2020-16992.
Vulnerabilidad en Azure Sphere de Microsoft (CVE-2020-16992)
Gravedad:
AltaAlta
Publication date: 11/11/2020
Last modified:
24/11/2020
Descripción:
Vulnerabilidad de Elevación de Privilegios de Azure Sphere Este ID de CVE es diferente de CVE-2020-16981, CVE-2020-16988, CVE-2020-16989, CVE-2020-16993
Vulnerabilidad en Microsoft Windows (CVE-2020-1599)
Gravedad:
BajaBaja
Publication date: 11/11/2020
Last modified:
24/11/2020
Descripción:
Vulnerabilidad Windows Spoofing
Vulnerabilidad en Azure DevOps y Team Foundation Services de Microsoft (CVE-2020-1325)
Gravedad:
MediaMedia
Publication date: 11/11/2020
Last modified:
24/11/2020
Descripción:
Vulnerabilidad de suplantación de zure DevOps Server y Team Foundation Services
Vulnerabilidad en archivos ~/.pam_environment en una modificación específica de Ubuntu para AccountsService (CVE-2020-16127)
Gravedad:
BajaBaja
Publication date: 11/11/2020
Last modified:
24/11/2020
Descripción:
Una modificación específica de Ubuntu para AccountsService en versiones anteriores a 0.6.55-0ubuntu13.2, entre otras versiones anteriores, llevaría a cabo operaciones de lectura ilimitadas en archivos ~/.pam_environment controlados por el usuario, permitiendo un bucle infinito si /dev/zero está enlazado simbólicamente a esta ubicación
Vulnerabilidad en el ruid en una modificación específica de Ubuntu para AccountsService (CVE-2020-16126)
Gravedad:
BajaBaja
Publication date: 11/11/2020
Last modified:
24/11/2020
Descripción:
Una modificación específica de Ubuntu para AccountsService en versiones anteriores a 0.6.55-0ubuntu13.2, entre otras versiones anteriores, eliminó incorrectamente el ruid, lo que permitió a usuarios que no eran de confianza enviar señales a AccountService, impidiendo así que manejara los mensajes D-Bus de manera oportuna
Vulnerabilidad en el envío de una petición a una aplicación web en SAP Fiori Launchpad (CVE-2020-26815)
Gravedad:
MediaMedia
Publication date: 10/11/2020
Last modified:
24/11/2020
Descripción:
SAP Fiori Launchpad (News tile Application), versiones: 750,751,752,753,754,755, permite a un atacante no autorizado enviar una petición diseñada hacia una aplicación web vulnerable. Usualmente, se usa para apuntar a sistemas internos detrás de firewalls que son normalmente inaccesibles para un atacante desde la red externa para recuperar recursos sensibles y confidenciales que de otro modo están restringidos solo para uso interno, resultando en una vulnerabilidad de tipo Server-Side Request Forgery
Vulnerabilidad en una petición HTTP en el archivo action/cache.py en MoinMoin (CVE-2020-25074)
Gravedad:
AltaAlta
Publication date: 10/11/2020
Last modified:
24/11/2020
Descripción:
La acción de la caché en el archivo action/cache.py en MoinMoin versiones hasta 1.9.10, permite el salto de directorio por medio de una petición HTTP diseñada. Un atacante que pueda cargar archivos adjuntos a la wiki puede usar esto para lograr una ejecución de código remota
Vulnerabilidad en los archivos en la carpeta de instalación en SAP ERP Client para E-Bilanz (CVE-2020-26807)
Gravedad:
BajaBaja
Publication date: 10/11/2020
Last modified:
24/11/2020
Descripción:
SAP ERP Client para E-Bilanz, versión - 1.0, la instalación establece permisos del sistema de archivos predeterminados Incorrectos que están configurados en su carpeta de instalación, lo que permite que cualquiera pueda modificar los archivos en la carpeta
Vulnerabilidad en el envío de una petición hacia una URL en SAP Commerce Cloud (CVE-2020-26811)
Gravedad:
MediaMedia
Publication date: 10/11/2020
Last modified:
24/11/2020
Descripción:
SAP Commerce Cloud (Accelerator Payment Mock), versiones - 1808, 1811, 1905, 2005, permite a un atacante no autenticado enviar una petición diseñada a través de una red hacia una URL del módulo de SAP Commerce en particular que será procesada sin más interacción, la petición diseñada conlleva a un ataque de tipo Server Side Request Forgery que podría conllevar a la recuperación de partes limitadas de información sobre el servicio sin impacto en la integridad o disponibilidad
Vulnerabilidad en un archivo HPGL en SAP 3D Visual Enterprise Viewer (CVE-2020-26817)
Gravedad:
MediaMedia
Publication date: 10/11/2020
Last modified:
24/11/2020
Descripción:
SAP 3D Visual Enterprise Viewer, versión - 9, permite a un usuario abrir un archivo HPGL manipulado recibido desde fuentes no confiables, lo que resulta que la aplicación se bloquee y no esté disponible temporalmente hasta que el usuario reinicie la aplicación, esto es causado debido a una Comprobación Inapropiada de la Entrada
Vulnerabilidad en los registros de costos de los objetos en los reportes de PS en SAP ERP y SAP S/4 HANA (CVE-2020-6316)
Gravedad:
MediaMedia
Publication date: 10/11/2020
Last modified:
24/11/2020
Descripción:
SAP ERP y SAP S/4 HANA, permiten a un usuario autenticado visualizar los registros de costos de objetos para los que no cuenta con autorización en los reportes de PS, conllevando a una Falta de Comprobación de Autorización
Vulnerabilidad en @strikeentco/set (CVE-2020-28267)
Gravedad:
MediaMedia
Publication date: 10/11/2020
Last modified:
24/11/2020
Descripción:
Una vulnerabilidad de contaminación de prototipo en la versión 1.0.0 de "@strikeentco/set", permite al atacante causar una denegación de servicio y puede conllevar a una ejecución de código remota
Vulnerabilidad en la operación de configuración (https://flitbit.github.io/json-ptr/classes/_src_pointer_.jsonpointer.htmlset) del paquete json-ptr (CVE-2020-7766)
Gravedad:
AltaAlta
Publication date: 10/11/2020
Last modified:
24/11/2020
Descripción:
Esto afecta a todas las versiones del paquete json-ptr. El problema ocurre en la operación de configuración (https://flitbit.github.io/json-ptr/classes/_src_pointer_.jsonpointer.htmlset) cuando el flag de fuerza se establece en verdadero. La función establece de forma recursiva la propiedad en el objeto objetivo, sin embargo, no comprueba correctamente la clave que está siendo configurada, lo que genera una contaminación de prototipo
Vulnerabilidad en las peticiones de la API sin autenticación en la configuración predeterminada previa para Airflow's Experimental API (CVE-2020-13927)
Gravedad:
AltaAlta
Publication date: 10/11/2020
Last modified:
24/11/2020
Descripción:
La configuración predeterminada previa para Airflow's Experimental API permitió todas las peticiones de la API sin autenticación, pero esto plantea riesgos de seguridad para los usuarios que no se dan cuenta de este hecho. Desde Airflow versión 1.10.11, el valor predeterminado ha sido cambiado para denegar todas las peticiones por defecto y está documentado en https://airflow.apache.org/docs/1.10.11/security.html#api-authentication. Tome en cuenta que este cambio lo corrige para nuevas instalaciones, pero los usuarios existentes deben cambiar su configuración a la predeterminada "[api] auth_backend=airflow.api.auth.backend.deny_all" como es mencionado en la Guía de Actualización: https://github.com/apache /airflow/blob/1.10.11/UPDATING.md#experimental-api-will-deny-all-request-by-defaul
Vulnerabilidad en la longitud de los parámetros en el módulo frame touch en Vivo (CVE-2020-12485)
Gravedad:
MediaMedia
Publication date: 10/11/2020
Last modified:
24/11/2020
Descripción:
El módulo frame touch no hace juicios de validez sobre la longitud de los parámetros cuando se procesan parámetros específicos, lo cual causó que se saliera del límite cuando se accede a la memoria. La vulnerabilidad eventualmente conlleva a un DOS local en el dispositivo
Vulnerabilidad en el uso de una SMI en SMRAM en Dell Inspiron 15 7579 2-en-1 BIOS (CVE-2020-5388)
Gravedad:
MediaMedia
Publication date: 10/11/2020
Last modified:
24/11/2020
Descripción:
Dell Inspiron 15 7579 2-en-1 BIOS versiones anteriores a 1.31.0, contienen una vulnerabilidad de verificación de búfer de comunicación SMM Inapropiada. Un usuario malicioso autenticado local podría potencialmente explotar esta vulnerabilidad mediante el uso de una SMI para obtener una ejecución de código arbitraria en SMRAM
Vulnerabilidad en las Interfaces de Usuario Graficas (GUIs) de administración de A10 Networks ACOS y aGalaxy (CVE-2020-24384)
Gravedad:
AltaAlta
Publication date: 10/11/2020
Last modified:
24/11/2020
Descripción:
Las Interfaces de Usuario Graficas (GUIs) de administración de A10 Networks ACOS y aGalaxy, presentan una vulnerabilidad de Ejecución de Código Remota (RCE) no autenticada que podría ser usada para comprometer los sistemas ACOS afectados. Las versiones de ACOS 3.2.x (incluyendo y posteriores a 3.2.2), versiones 4.x y 5.1.x están afectadas. aGalaxy versiones 3.0.x, 3.2.x y 5.0.x están afectadas
Vulnerabilidad en dbus en gnom en Ubuntu en gdm3 (CVE-2020-16125)
Gravedad:
MediaMedia
Publication date: 10/11/2020
Last modified:
24/11/2020
Descripción:
gdm3 versiones anteriores a 3.36.2 o 3.38.2, comenzaría la configuración inicial de gnom si gdm3 no puede ponerse en contacto con el servicio de cuentas por medio de dbus de manera oportuna; en Ubuntu (y potencialmente en sus derivados) esto podría enlazarse con un problema adicional que podría permitir a un usuario local crear una nueva cuenta privilegiada
Vulnerabilidad en el método FileOutputStream.write() en el archivo FileOutputStream.java en ReadyTalk Avian (CVE-2020-28371)
Gravedad:
AltaAlta
Publication date: 09/11/2020
Last modified:
24/11/2020
Descripción:
** NO COMPATIBLE CUANDO SE ASIGNÓ ** Se detectó un problema en ReadyTalk Avian versión 1.2.0 antes del 27-10-2020. El método FileOutputStream.write() en el archivo FileOutputStream.java presenta una verificación de límites para evitar operaciones de lectura/escritura de memoria fuera de límites. Sin embargo, un desbordamiento de enteros conduce a omitir esta verificación y lograr el acceso fuera de límites. NOTA: Esta vulnerabilidad solo afecta a los productos que ya no son compatibles con el mantenedor
Vulnerabilidad en los componentes Bitdefender Update Server y BEST Relay de Bitdefender Endpoint Security Tools (CVE-2020-15297)
Gravedad:
MediaMedia
Publication date: 09/11/2020
Last modified:
24/11/2020
Descripción:
Una comprobación insuficiente en los componentes Bitdefender Update Server y BEST Relay de Bitdefender Endpoint Security Tools versiones anteriores a 6.6.20.294, permite a un atacante no privilegiado omitir unas mitigaciones en el sitio e interactuar con los hosts de la red. Este problema afecta: Bitdefender Update Server versiones anteriores a 6.6.20.294
Vulnerabilidad en el envío mensajes en la mensajería del canal de virtualización en el plug-in virtual desktop de Cisco Webex Meetings Desktop App para Windows (CVE-2020-3588)
Gravedad:
MediaMedia
Publication date: 06/11/2020
Last modified:
24/11/2020
Descripción:
Una vulnerabilidad en la mensajería del canal de virtualización en Cisco Webex Meetings Desktop App para Windows, podría permitir a un atacante local ejecutar código arbitrario en un sistema de destino. Esta vulnerabilidad ocurre cuando esta aplicación es implementada en un entorno de escritorio virtual y se utiliza la optimización del entorno virtual.  Esta vulnerabilidad es debido a una comprobación inapropiada de los mensajes procesados ??por Cisco Webex Meetings Desktop App. Un atacante local con privilegios limitados podría explotar esta vulnerabilidad mediante el envío mensajes maliciosos al software afectado mediante la interfaz del canal de virtualización. Una explotación con éxito podría permitir al atacante modificar la configuración del sistema operativo subyacente, lo que podría permitir al atacante ejecutar código arbitrario con los privilegios de un usuario apuntado. Nota: Esta vulnerabilidad puede ser explotada solo cuando Cisco Webex Meetings Desktop App se encuentra en un entorno de escritorio virtual en un hosted virtual desktop (HVD) y está configurado para usar el plug-in virtual desktop de Webex Meetings para clientes ligeros
Vulnerabilidad en el envío una tasa alta y sostenida de los paquetes de entrada TCP en la funcionalidad TCP packet processing en Cisco IP Phones (CVE-2020-3574)
Gravedad:
AltaAlta
Publication date: 06/11/2020
Last modified:
24/11/2020
Descripción:
Una vulnerabilidad en la funcionalidad TCP packet processing de Cisco IP Phones, podría permitir a un atacante remoto no autenticado causar que el teléfono dejara de responder a las llamadas entrantes, abandonara las llamadas conectadas o se recargara inesperadamente. La vulnerabilidad es debido a una limitación insuficiente de la tasa de paquetes de entrada TCP. Un atacante podría explotar esta vulnerabilidad mediante el envío una tasa alta y sostenida de tráfico TCP diseñado hacia el dispositivo apuntado. Una explotación con éxito podría permitir al atacante afectar las operaciones del teléfono o hacer que el teléfono se recargue, dando lugar a una condición de denegación de servicio (DoS)

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Go (CVE-2020-28367)
Gravedad:
MediaMedia
Publication date: 18/11/2020
Last modified:
15/12/2020
Descripción:
Go versiones anteriores a 1.14.12 y versiones 1.15.x anteriores a 1.15.5, permite una Inyección de Argumentos
Vulnerabilidad en Go (CVE-2020-28366)
Gravedad:
MediaMedia
Publication date: 18/11/2020
Last modified:
15/12/2020
Descripción:
Go versiones anteriores a 1.14.12 y versiones 1.15.x anteriores a 1.15.5, permite una Inyección de Código
Vulnerabilidad en un acceso adyacente en algunos productos Intel® Wireless Bluetooth® (CVE-2020-12321)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Una restricción de búfer inapropiada en algunos productos Intel® Wireless Bluetooth® anterior a versión 21.110, puede habilitar a un usuario no autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso adyacente
Vulnerabilidad en un acceso local en algunos Intel® Processors (CVE-2020-8698)
Gravedad:
BajaBaja
Publication date: 12/11/2020
Last modified:
11/02/2021
Descripción:
Un aislamiento inapropiado de los recursos compartidos en algunos Intel® Processors, puede habilitar a un usuario autenticado para permitir potencialmente una divulgación de información por medio de un acceso local
Vulnerabilidad en un acceso local en el código de muestra de la plataforma Intel BIOS para algunos Intel® Processors (CVE-2020-8739)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
28/01/2021
Descripción:
El uso de una función potencialmente peligrosa en el código de muestra de la plataforma Intel BIOS para algunos Intel® Processors puede habilitar a un usuario autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el código de muestra en la plataforma Intel BIOS para algunos Intel® Processors (CVE-2020-8740)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
28/01/2021
Descripción:
Una escritura fuera de límites en el código de muestra de la plataforma Intel BIOS para algunos Intel® Processors puede habilitar a un usuario privilegiado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso local en el firmware del BIOS para algunos Intel® Processors (CVE-2020-8764)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
28/01/2021
Descripción:
Un control de acceso inapropiado en el firmware del BIOS para algunos Intel® Processors, puede habilitar a un usuario privilegiado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en sitios con reglas PolicyKit en el modelo de seguridad de apt de PackageKit (CVE-2020-16122)
Gravedad:
BajaBaja
Publication date: 07/11/2020
Last modified:
14/04/2021
Descripción:
El backend apt de PackageKit trató erróneamente a todas las debs locales como confiables. El modelo de seguridad de apt se basa en la confianza del repositorio y no en el contenido de archivos individuales. En sitios con reglas PolicyKit configuradas, esto puede permitir a los usuarios instalar paquetes maliciosos
Vulnerabilidad en los comandos de la CLI en la funcionalidad remote management en Cisco SD-WAN vManage Software (CVE-2020-27129)
Gravedad:
AltaAlta
Publication date: 06/11/2020
Last modified:
24/11/2020
Descripción:
Una vulnerabilidad en la funcionalidad remote management de Cisco SD-WAN vManage Software, podría permitir a un atacante local autenticado inyectar comandos arbitrarios y potencialmente alcanzar privilegios elevados. La vulnerabilidad es debido a una comprobación inapropiada de los comandos de la CLI de administración remota de la aplicación afectada. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones maliciosas hacia la aplicación afectada. Una explotación con éxito podría permitir al atacante inyectar comandos arbitrarios y potencialmente alcanzar privilegios elevados
Vulnerabilidad en la configuración de variables específicas del monitor ROM (ROMMON) en Cisco IOS XE Software (CVE-2020-3417)
Gravedad:
AltaAlta
Publication date: 24/09/2020
Last modified:
24/11/2020
Descripción:
Una vulnerabilidad en Cisco IOS XE Software podría permitir a un atacante local autenticado ejecutar código persistente en el momento del arranque y romper la cadena de confianza. Esta vulnerabilidad es debido a comprobaciones incorrectas para scripts de arranque cuando son configuradas variables específicas del monitor ROM (ROMMON). Un atacante podría explotar esta vulnerabilidad mediante la instalación del código en un directorio específico del sistema operativo (SO) subyacente y configurando una variable ROMMON específica. Una explotación con éxito podría permitir al atacante ejecutar código persistente en el sistema operativo subyacente. Para explotar esta vulnerabilidad, el atacante necesitaría acceder al shell root del dispositivo o contar con acceso físico al dispositivo.
Vulnerabilidad en el envío de una petición HTTP en la funcionalidad de IU web de Cisco IOS XE Software (CVE-2020-3400)
Gravedad:
MediaMedia
Publication date: 24/09/2020
Last modified:
24/11/2020
Descripción:
Una vulnerabilidad en la funcionalidad de la Interfaz de Usuario web de Cisco IOS XE Software, podría permitir a un atacante remoto autenticado usar partes de la Interfaz de Usuario web para las que no está autorizado. La vulnerabilidad es debido a una autorización insuficiente de las peticiones de acceso a la Interfaz de Usuario web. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición HTTP diseñada hacia la interfaz de la Interfaz de Usuario web. Una explotación con éxito podría permitir al atacante utilizar partes de la petición web para las que no está autorizado. Esto podría permitir a un usuario de solo lectura realizar acciones de un usuario administrador.