Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en en Lenovo PCManager (CVE-2020-8351)
Gravedad:
MediaMedia
Publication date: 30/11/2020
Last modified:
02/12/2020
Descripción:
Se reportó una vulnerabilidad de escalada de privilegios en Lenovo PCManager anterior a versión 3.0.50.9162, que podría permitir a un usuario autenticado ejecutar código con privilegios elevados
Vulnerabilidad en el archivo cmd_history.log en el registro de salida de las operaciones CLI en gluster-block (CVE-2020-10762)
Gravedad:
BajaBaja
Publication date: 24/11/2020
Last modified:
02/12/2020
Descripción:
Se encontró un fallo de la divulgación de información en la forma en que gluster-block versiones anteriores a 0.5.1, registra la salida de las operaciones CLI de gluster-block. Esto incluye la grabación de contraseñas en el archivo cmd_history.log, que es de tipo world-readable. Este fallo permite a usuarios locales obtener información confidencial al leer el archivo de registro. La mayor amenaza de esta vulnerabilidad es la confidencialidad de los datos
Vulnerabilidad en la emisión de consultas en el procesamiento matemático en MongoDB Server de MongoDB Inc (CVE-2018-20803)
Gravedad:
MediaMedia
Publication date: 23/11/2020
Last modified:
02/12/2020
Descripción:
Un usuario autorizado para realizar consultas en la base de datos puede desencadenar una denegación de servicio al emitir consultas especialmente diseñadas, que se repiten indefinidamente en el procesamiento matemático mientras retienen bloqueos. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v4.0 anteriores a 4.0.5; versiones v3.6 anteriores a 3.6.10; versiones v3.4 anteriores a 3.4.19
Vulnerabilidad en el componente robot (controller) en CA Unified Infrastructure Management (CVE-2020-28421)
Gravedad:
MediaMedia
Publication date: 23/11/2020
Last modified:
21/07/2021
Descripción:
CA Unified Infrastructure Management versiones 20.1 y anteriores, contienen una vulnerabilidad en el componente robot (controller) que permite a atacantes locales escalar privilegios
Vulnerabilidad en una petición en el analizador de nombres de funciones en MongoDB Server de MongoDB Inc (CVE-2020-7925)
Gravedad:
MediaMedia
Publication date: 23/11/2020
Last modified:
19/10/2021
Descripción:
Una comprobación inapropiada de la entrada del usuario en el analizador de nombres de funciones puede conllevar al uso de memoria no inicializada, permitiendo a un atacante no autenticado usar una petición especialmente diseñada para causar una denegación de servicio. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v4.4 anteriores a 4.4.0-rc12; versiones v4.2 anteriores a 4.2.9
Vulnerabilidad en /home/(user)/ SecurityOnion/setup/so-setup en Security Onion (CVE-2020-27985)
Gravedad:
AltaAlta
Publication date: 23/11/2020
Last modified:
21/07/2021
Descripción:
Security Onion versiones v2 anteriores a 2.3.10, presenta una configuración de sudo incorrecta, que permite al usuario administrador obtener acceso de root sin utilizar la contraseña de sudo editando y ejecutando /home/(user)/ SecurityOnion/setup/so-setup
Vulnerabilidad en el portal de administración de Netskope (CVE-2020-28845)
Gravedad:
AltaAlta
Publication date: 20/11/2020
Last modified:
02/12/2020
Descripción:
Una vulnerabilidad de inyección CSV en el portal de administración de Netskope versión 75.0, permite a un usuario no autenticado inyectar una carga útil maliciosa en el portal de administración y, por lo tanto, comprometer el sistema de administración
Vulnerabilidad en la página de administración web en algunos dispositivos XTE (CVE-2020-6879)
Gravedad:
BajaBaja
Publication date: 19/11/2020
Last modified:
02/12/2020
Descripción:
Algunos dispositivos ZTE presentan vulnerabilidades de comprobación de entrada. Los dispositivos admiten la configuración de un prefijo estático por medio de la página de administración web. La restricción del código de front-end se puede omitir al construir un mensaje de petición POST y mediante el envío de la petición a la creación de una interfaz de configuración de reglas de enrutamiento estático. El backend del servicio WEB no puede verificar eficazmente la entrada anormal. Como resultado, el atacante puede usar con éxito la vulnerabilidad para alterar los valores de los parámetros. Esto afecta a: ZXHN Z500 V1.0.0.2B1.1000 y ZXHN F670L V1.1.10P1N2E. Esto se corrige en ZXHN Z500 V1.0.1.1B1.1000 y ZXHN F670L V1.1.10P2N2
Vulnerabilidad en el SDK de copia de seguridad y restauración en com.coloros.codebook (CVE-2020-11829)
Gravedad:
AltaAlta
Publication date: 19/11/2020
Last modified:
21/07/2021
Descripción:
Una carga dinámica de servicios en el SDK de copia de seguridad y restauración conlleva a una escalada de privilegios, el producto afectado es com.coloros.codebook versión V2.0.0_5493e40_200722
Vulnerabilidad en el archivo services/httpd/handler.go en un token JWT en InfluxDB (CVE-2019-20933)
Gravedad:
AltaAlta
Publication date: 18/11/2020
Last modified:
02/01/2021
Descripción:
InfluxDB versiones anteriores a 1.7.6, presenta una vulnerabilidad de omisión de autenticación en la función de autenticación en el archivo services/httpd/handler.go porque un token JWT puede tener un SharedSecret vacío (también se conoce como secreto compartido)
Vulnerabilidad en el FTP en el Servidor Web en unas ofertas de Modicon M340, Modicon Quantum y Modicon Premium Legacy y sus Módulos de Comunicación (CVE-2020-7562)
Gravedad:
MediaMedia
Publication date: 18/11/2020
Last modified:
02/12/2020
Descripción:
CWE-125: Una vulnerabilidad Lectura Fuera de Límites se presenta en el Servidor Web en las ofertas Modicon M340, Modicon Quantum y Modicon Premium Legacy y sus Módulos de Comunicación (consulte la notificación para obtener más detalles) que podría causar un fallo de segmentación o un desbordamiento del búfer al cargar un archivo especialmente diseñado en el controlador por medio de FTP
Vulnerabilidad en el FTP en el Servidor Web en unas ofertas de Modicon M340, Modicon Quantum y Modicon Premium Legacy y sus Módulos de Comunicación (CVE-2020-7563)
Gravedad:
MediaMedia
Publication date: 18/11/2020
Last modified:
02/12/2020
Descripción:
CWE-787: Una vulnerabilidad de escritura fuera de límites se presenta en el Servidor Web de unas ofertas de Modicon M340, Modicon Quantum y Modicon Premium Legacy y sus Módulos de Comunicación (véase la notificación para más detalles) que podría causar una corrupción de datos, un bloqueo o una ejecución de código al cargar un archivo especialmente diseñado en el controlador por medio de FTP
Vulnerabilidad en FTP en el Servidor Web en unas ofertas de Modicon M340, Modicon Quantum y Modicon Premium Legacy y sus Módulos de Comunicación (CVE-2020-7564)
Gravedad:
MediaMedia
Publication date: 18/11/2020
Last modified:
02/12/2020
Descripción:
CWE-120: Una vulnerabilidad de Copia de búfer sin Comprobar el Tamaño de la Entrada ("Classic Buffer Overflow") se presenta en el Servidor Web de unas ofertas de Modicon M340, Modicon Quantum y Modicon Premium Legacy y sus Módulos de Comunicación (véase la notificación para más detalles) que podría causar acceso de escritura y una ejecución de comandos al cargar un archivo especialmente diseñado en el controlador por medio de FTP

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la emisión de consultas en MongoDB Server de MongoDB Inc (CVE-2020-7928)
Gravedad:
MediaMedia
Publication date: 23/11/2020
Last modified:
02/12/2020
Descripción:
Un usuario autorizado para realizar consultas de la base de datos puede desencadenar un desbordamiento de lectura y acceder a la memoria arbitraria mediante la emisión de consultas especialmente diseñadas. Este problema afecta a: MongoDB Server de MongoDB Inc versiones v4.4 anteriores a 4.4.1; versiones v4.2 anteriores a 4.2.9; versiones v4.0 anteriores a 4.0.20; versiones v3.6 anteriores a 3.6.20
Vulnerabilidad en un mensaje de correo electrónico HTML en REDDOXX MailDepot (CVE-2020-26554)
Gravedad:
MediaMedia
Publication date: 18/11/2020
Last modified:
02/12/2020
Descripción:
REDDOXX MailDepot versión 2033 (también se conoce como 2.3.3022) permite un ataque de tipo XSS por medio de un mensaje de correo electrónico HTML entrante