Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los permisos de archivos en Nagios XI (CVE-2020-5796)
Gravedad:
AltaAlta
Publication date: 13/11/2020
Last modified:
24/11/2020
Descripción:
Una conservación inapropiada de permisos en Nagios XI versión 5.7.4, permite a un usuario autenticado local, poco privilegiado, debilitar unos permisos de archivos, resultando en que usuarios poco privilegiados poder ser capaces de escribir y ejecutar código PHP arbitrario con privilegios root
Vulnerabilidad en el mosaico News en SAP Fiori Launchpad (News tile Application) (CVE-2020-26825)
Gravedad:
MediaMedia
Publication date: 13/11/2020
Last modified:
24/11/2020
Descripción:
SAP Fiori Launchpad (News tile Application), versiones - 750,751,752,753,754,755, permite a un atacante no autorizado usar SAP Fiori Launchpad News tile Application para enviar código malicioso hacia un usuario final diferente (víctima), porque el mosaico News no codifica suficientemente las entradas controladas por el usuario. Resultando en la vulnerabilidad de tipo Cross-Site Scripting (XSS) Reflejado. La información que se mantiene en el navegador web de la víctima puede ser leída, modificada y enviada al atacante. El código malicioso no puede afectar significativamente el navegador de la víctima y la víctima puede cerrar fácilmente la pestaña del navegador para finalizarlo
Vulnerabilidad en el funcionamiento del búfer en HUAWEI Mate 30 (CVE-2020-9129)
Gravedad:
MediaMedia
Publication date: 13/11/2020
Last modified:
21/07/2021
Descripción:
HUAWEI Mate 30 versiones anteriores a 10.1.0.159(C00E159R7P2), presentan una vulnerabilidad de funcionamiento inapropiado del búfer. Debido a restricciones inapropiadas, unos atacantes locales con privilegios elevados pueden explotar la vulnerabilidad para causar un desbordamiento de la pila del sistema
Vulnerabilidad en varias páginas ASPX de ResourceXpress Meeting Monitor (CVE-2020-13877)
Gravedad:
AltaAlta
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Los problemas de inyección de SQL en varias páginas ASPX de ResourceXpress Meeting Monitor versiones 4.9, podrían conllevar a una ejecución de código remota y una divulgación de información
Vulnerabilidad en un acceso local en el instalador para Intel® Battery Life Diagnostic Tool (CVE-2020-12346)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Unos permisos inapropiados en el instalador para Intel® Battery Life Diagnostic Tool versiones anteriores a 1.0.7, pueden habilitar a un usuario autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso local
Vulnerabilidad en un acceso de red en la Intel® Data Center Manager Console (CVE-2020-12353)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Unos permisos inapropiados en la Intel® Data Center Manager Console anterior a versión 3.6.2, pueden habilitar a un usuario autenticado para permitir potencialmente una denegación de servicio por medio de un acceso de red
Vulnerabilidad en un acceso de red en Intel® Data Center Manager Console (CVE-2020-8669)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Una comprobación de entrada inapropiada en Intel® Data Center Manager Console anterior a versión 3.6.2, puede habilitar a un usuario autenticado para permitir potencialmente una divulgación de información por medio de un acceso de red
Vulnerabilidad en un acceso físico en el firmware de algunos Intel® Client SSDs y algunos Intel® Data Center SSDs (CVE-2020-12311)
Gravedad:
BajaBaja
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Una administración del flujo de control insuficiente en el firmware de algunos Intel® Client SSDs y algunos Intel® Data Center SSDs, puede habilitar a un usuario no autenticado para permitir potencialmente una divulgación de información por medio de un acceso físico
Vulnerabilidad en un acceso físico en el firmware Intel® Stratix® 10 FPGA en el software Intel® Quartus® Prime Pro (CVE-2020-12312)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
21/07/2021
Descripción:
Unas restricciones de búfer inapropiadas en el firmware Intel® Stratix® 10 FPGA proporcionado con el software Intel® Quartus® Prime Pro anterior a versión 20.2, pueden habilitar a un usuario no autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso físico
Vulnerabilidad en una cuenta de servicio o estándar local de SeImpersonatePrivilege en Ivanti Endpoint Manager (CVE-2020-13770)
Gravedad:
AltaAlta
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Varios servicios están accediendo a canalizaciones nombradas en Ivanti Endpoint Manager versiones hasta 2020.1.1, con atributos de seguridad predeterminados o excesivamente permisivos; como estos servicios se ejecutan como usuario "NT AUTHORITY\SYSTEM", el problema puede ser usado para escalar privilegios desde una cuenta de servicio o estándar local que tenga SeImpersonatePrivilege (por ejemplo, usuario "NT AUTHORITY\NETWORK SERVICE')
Vulnerabilidad en los archivos ldiscn32.exe, IpmiRedirectionService.exe, LDAPWhoAmI.exe y ldprofile.exe en el orden búsqueda de Windows en Ivanti Endpoint Manager (CVE-2020-13771)
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Varios componentes en Ivanti Endpoint Manager versiones hasta 2020.1.1, se basan en el orden de búsqueda de Windows al cargar un archivo de biblioteca (inexistente), permitiendo (bajo determinadas condiciones) que uno consiga una ejecución de código (y una elevación de privilegios al nivel de privilegio que posee el componente vulnerable) tal y como NT AUTHORITY\SYSTEM) por medio el secuestro de una DLL. Esto afecta a los archivos ldiscn32.exe, IpmiRedirectionService.exe, LDAPWhoAmI.exe y ldprofile.exe
CVE-2020-24573
Gravedad:
MediaMedia
Publication date: 12/11/2020
Last modified:
24/11/2020
Descripción:
Los dispositivos BAB TECHNOLOGIE GmbH eibPort versiones V3 anteriores a 3.8.3, permiten una denegación de servicio (Consumo No Controlado de Recursos) por medio de peticiones al componente lighttpd
Vulnerabilidad en el componente Core de TIBCO iProcess Workspace (Browser) de TIBCO Software Inc (CVE-2020-27146)
Gravedad:
MediaMedia
Publication date: 10/11/2020
Last modified:
24/11/2020
Descripción:
El componente Core de TIBCO iProcess Workspace (Browser) de TIBCO Software Inc. contiene una vulnerabilidad que teóricamente permite a un atacante no autenticado con acceso a la red ejecutar un ataque de tipo Cross Site Request Forgery (CSRF) en el sistema afectado. Un ataque con éxito que utilice esta vulnerabilidad requiere una interacción humana de un usuario autenticado diferente del atacante. Las versiones afectadas son TIBCO iProcess Workspace (Browser) de TIBCO Software Inc.: versiones 11.6.0 y por debajo

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: