Boletín de vulnerabilidades
Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:
Vulnerabilidad en el ingreso de un número ilimitado de códigos de acceso para una reunión en BigBlueButton (CVE-2020-29042)
Gravedad:
Media
Publication date: 26/11/2020
Last modified:
29/11/2020
Descripción:
Se detectó un problema en BigBlueButton versiones hasta 2.2.29. Un ataque de fuerza bruta puede ocurrir porque un número ilimitado de códigos puede ser ingresados para una reunión que está protegida por un código de acceso
Vulnerabilidad en un URI account_activations/edit?token= en la creación de una cuenta de usuario en BigBlueButton (CVE-2020-29043)
Gravedad:
Media
Publication date: 26/11/2020
Last modified:
21/07/2021
Descripción:
Se detectó un problema en BigBlueButton versiones hasta 2.2.29. Cuando el atacante puede visualizar un URI account_activations/edit?token=, el atacante puede crear una cuenta de usuario aprobada asociada con una dirección de correo electrónico que tenga un nombre de dominio arbitrario
Vulnerabilidad en emisión de consultas en QueryPlanner en MongoDB Server de MongoDB Inc (CVE-2018-20802)
Gravedad:
Media
Publication date: 23/11/2020
Last modified:
29/11/2020
Descripción:
Un usuario autorizado que lleva a cabo consultas en la bases de datos puede desencadenar una denegación de servicio al emitir consultas especialmente diseñadas con índices compuestos afectando a QueryPlanner. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v3.6 anteriores a 3.6.9, versiones v4.0 anteriores a 4.0.3
Vulnerabilidad en emisión de invocaciones de applyOps en MongoDB Server de MongoDB Inc (CVE-2018-20804)
Gravedad:
Media
Publication date: 23/11/2020
Last modified:
29/11/2020
Descripción:
Un usuario autorizado que lleva a cabo consultas en la base de datos puede desencadenar una denegación de servicio al emitir invocaciones de applyOps especialmente diseñadas. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v4.0 anteriores a 4.0.10; versiones v3.6 anteriores a 3.6.13
Vulnerabilidad en emisión de consultas en un $elemMatch en MongoDB Server de MongoDB Inc (CVE-2018-20805)
Gravedad:
Media
Publication date: 23/11/2020
Last modified:
29/11/2020
Descripción:
Un usuario autorizado que lleva a cabo consultas en la base de datos puede desencadenar una denegación de servicio al emitir consultas especialmente diseñadas, que llevan a cabo un $elemMatch. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v4.0 anteriores a 4.0.5; versiones v3.6 anteriores a 3.6.10. Este problema afecta a: MongoDB Server de MongoDB Inc versiones 3.6 anteriores a 3.6.10; versiones 4.0 anteriores a 4.0.5
Vulnerabilidad en emisión de consultas en el ámbito interno del motor de Javascript en MongoDB Server de MongoDB Inc (CVE-2019-20923)
Gravedad:
Media
Publication date: 23/11/2020
Last modified:
29/11/2020
Descripción:
Un usuario autorizado que lleva a cabo consultas en la base de datos puede desencadenar una denegación de servicio al emitir consultas especialmente diseñadas, que arrojan excepciones de Javascript no controladas que contienen tipos destinados a ser incluidos en el ámbito interno del motor de Javascript. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v4.0 anteriores a 4.0.7
Vulnerabilidad en emisión de consultas en el subsistema de selección del servidor en MongoDB Server (CVE-2020-7926)
Gravedad:
Media
Publication date: 23/11/2020
Last modified:
29/11/2020
Descripción:
Un usuario autorizado que lleva a cabo consultas en la base de datos puede causar una denegación de servicio al emitir una consulta especialmente diseñada que viola una invariante en el subsistema de selección del servidor. Este problema afecta a: MongoDB Server versiones 4.4 anteriores a 4.4.1. Unas versiones anteriores a 4.4 no están afectadas
Vulnerabilidad en web/controllers/ApiController.groovy en BigBlueButton (CVE-2020-28954)
Gravedad:
Media
Publication date: 19/11/2020
Last modified:
29/11/2020
Descripción:
web/controllers/ApiController.groovy en BigBlueButton versiones anteriores a 2.2.29 carece de cierta desinfección de parámetros, como se demuestra al aceptar caracteres de control en un nombre de usuario
Vulnerabilidad en Unified Portal Client (cliente web) en Avaya Equinox Conferencing (CVE-2020-7033)
Gravedad:
Baja
Publication date: 12/11/2020
Last modified:
29/11/2020
Descripción:
Una vulnerabilidad de tipo Cross Site Scripting (XSS) en Unified Portal Client (cliente web), que se utiliza en Avaya Equinox Conferencing puede permitir a un usuario autenticado realizar ataques de tipo XSS. Las versiones afectadas de Equinox Conferencing incluyen todas las versiones 9.x anteriores a 9.1.10
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
Vulnerabilidad en los algoritmos criptográficos en IBM Sterling B2B Integrator Standard Edition (CVE-2020-4937)
Gravedad:
Media
Publication date: 20/11/2020
Last modified:
02/12/2020
Descripción:
IBM Sterling B2B Integrator Standard Edition versiones 5.2.0.0 hasta 6.0.3.2, usa algoritmos criptográficos más débiles de lo esperado lo que podría permitir a un atacante descifrar información altamente confidencial. IBM X-Force ID: 191814