Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el flujo de entrada en el módulo stringstream de Node.js (CVE-2018-21270)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
16/02/2021
Descripción:
Las versiones inferiores a 0.0.6 del módulo stringstream de Node.js son vulnerables a una lectura fuera de límites debido a la asignación de búferes no inicializados cuando un número es pasado en el flujo de entrada (cuando se usa Node.js versión 4.x)
Vulnerabilidad en un programa construido en AnyView (network police) network monitoring software (CVE-2020-23741)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
04/12/2020
Descripción:
En AnyView (network police) network monitoring software versión 4.6.0.1, se presenta una vulnerabilidad local de denegación de servicio en AnyView, atacantes pueden usar un programa construido para causar un bloqueo del ordenador (BSOD)
Vulnerabilidad en unos programas construidos en el controlador wizard en DriverGenius (CVE-2020-23740)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
04/12/2020
Descripción:
En DriverGenius versión 9.61.5480.28, se presenta una vulnerabilidad de escalada de privilegios local en el controlador wizard, los atacantes pueden usar programas construidos para aumentar los privilegios del usuario
Vulnerabilidad en un programa construido en Advanced SystemCare 13 PRO (CVE-2020-23738)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
04/12/2020
Descripción:
Se presenta una vulnerabilidad local de denegación de servicio en Advanced SystemCare 13 PRO versión 13.5.0.174. Los atacantes pueden utilizar un programa construido para causar un bloqueo del ordenador (BSOD)
Vulnerabilidad en unos programas construidos en DaDa accelerator (CVE-2020-23736)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
04/12/2020
Descripción:
Se presenta una vulnerabilidad local de denegación de servicio en DaDa accelerator versión 5.6.19.816, los atacantes pueden utilizar programas construidos para causar bloqueos del ordenador (BSOD)
CVE-2020-23727
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
04/12/2020
Descripción:
Se presenta una vulnerabilidad local de denegación de servicio en Antiy Zhijia Terminal Defense System versión 5.0.2.10121559 y un atacante puede causar un bloqueo del ordenador (BSOD)
Vulnerabilidad en Wise Care (CVE-2020-23726)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
04/12/2020
Descripción:
Se presenta una vulnerabilidad local de denegación de servicio en Wise Care versión 365 5.5.4, los atacantes pueden causar un bloqueo del ordenador (BSOD)
Vulnerabilidad en la página de descarga /sysworkflow/en/neoclassic/reportTables/reportTables_Ajax en el parámetro sort en ProcessMaker (CVE-2020-13525)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
04/12/2020
Descripción:
El parámetro sort en la página de descarga /sysworkflow/en/neoclassic/reportTables/reportTables_Ajax, es vulnerable a una inyección SQL en ProcessMaker versión 3.4.11. Una petición HTTP especialmente diseñada puede causar una inyección SQL. Un atacante puede realizar una petición HTTP autenticada para desencadenar esta vulnerabilidad
Vulnerabilidad en datos SPECS de archivos binarios USD en Pixar OpenUSD (CVE-2020-13524)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
15/12/2020
Descripción:
Se presenta una vulnerabilidad de corrupción de memoria fuera de límites en la forma en que Pixar OpenUSD versión 20.05, usa datos SPECS de archivos binarios USD. Un archivo malformado especialmente diseñado puede desencadenar un acceso a la memoria fuera de límites y una modificación que resulta en una corrupción de memoria. Para activar esta vulnerabilidad, la víctima necesita acceder a un archivo malformado proporcionado por el atacante
Vulnerabilidad en el analizador del módulo de limpieza de python-lxml (CVE-2020-27783)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
30/03/2021
Descripción:
Se detectó una vulnerabilidad de tipo XSS en el módulo de limpieza de python-lxml. El analizador del módulo no imitaba apropiadamente los navegadores, lo que causaba comportamientos diferentes entre el sanitizador y la página del usuario. Un atacante remoto podría explotar este fallo para ejecutar código HTML/JS arbitrario
Vulnerabilidad en el programa construido en Saibo Cyber Game Accelerator (CVE-2020-23735)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
04/12/2020
Descripción:
En Saibo Cyber Game Accelerator versión 3.7.9, se presenta una vulnerabilidad de escalada de privilegios local. Los atacantes pueden usar el programa construido para incrementar los privilegios del usuario
Vulnerabilidad en Jenkins Shelve Project Plugin (CVE-2020-2321)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
04/12/2020
Descripción:
Una vulnerabilidad de tipo cross-site request forgery (CSRF) en Jenkins Shelve Project Plugin versiones 3.0 y anteriores, permite a atacantes archivar, retirar o eliminar un proyecto
Vulnerabilidad en la biblioteca lib/Check.php en OpenClinic (CVE-2020-28938)
Gravedad:
BajaBaja
Publication date: 03/12/2020
Last modified:
03/12/2020
Descripción:
OpenClinic versión 0.8.2, está afectada por una vulnerabilidad de tipo XSS almacenado en la biblioteca lib/Check.php que permite a usuarios de la aplicación forzar acciones en nombre de otros usuarios
Vulnerabilidad en el manejo de los permisos de archivos y directorios en samba (CVE-2020-14318)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
24/12/2020
Descripción:
Se encontró un fallo en la manera en que samba manejaba los permisos de archivos y directorios. Un usuario autenticado podría usar este fallo para conseguir acceso a determinada información de archivos y directorios que de otra manera no estaría disponible para el atacante
Vulnerabilidad en vectores no especificados en GROWI (CVE-2020-5676)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
03/12/2020
Descripción:
GROWI versiones v4.1.3 y anteriores, permite a atacantes remotos conseguir información a la que no se les permite acceder por medio de vectores no especificados
Vulnerabilidad en vectores no especificados en GROWI (CVE-2020-5677)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
03/12/2020
Descripción:
Una vulnerabilidad de tipo cross-site scripting reflejado en GROWI versiones v4.0.0 y anteriores, permite a atacantes remotos inyectar script arbitrario por medio de vectores no especificados
Vulnerabilidad en vector no especificado en EC-CUBE (CVE-2020-5680)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
03/12/2020
Descripción:
Una vulnerabilidad de comprobación inapropiada de entrada en EC-CUBE versiones 3.0.5 hasta 3.0.18, permite a un atacante remoto causar una condición de denegación de servicio (DoS) por medio de un vector no especificado
Vulnerabilidad en las capas o marcos de la interfaz de usuario renderizada en EC-CUBE en EC-CUBE (CVE-2020-5679)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
03/12/2020
Descripción:
Una restricción inapropiada de las capas o marcos de la interfaz de usuario renderizada en EC-CUBE versiones desde 3.0.0 hasta 3.0.18, conlleva a ataques de secuestro de clics. Si un usuario accede a una página especialmente diseñada mientras está conectado a la página administrativa, pueden ser conducidas operaciones no deseadas
Vulnerabilidad en vectores no especificados en GROWI (CVE-2020-5678)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
03/12/2020
Descripción:
Una vulnerabilidad de tipo cross-site scripting almacenado en GROWI versiones v3.8.1 y anteriores, permite a atacantes remotos inyectar script arbitrario por medio de vectores no especificados
Vulnerabilidad en vectores no especificados en NEO de desknet (CVE-2020-5638)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
03/12/2020
Descripción:
Una vulnerabilidad de tipo Cross-site scripting en NEO de desknet (NEO Small License de desknet versiones V5.5 R1.5 y anteriores, y NEO Enterprise License de Desknet versiones V5.5 R1.5 y anteriores), permite a atacantes remotos inyectar script arbitrario por medio de vectores no especificados

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en un archivo de entrada en la función load_pnm() en CImg (CVE-2020-25693)
Gravedad:
MediaMedia
Publication date: 03/12/2020
Last modified:
07/12/2020
Descripción:
Se encontró un fallo en CImg en versiones anteriores a 2.9.3. Desbordamientos de enteros que conllevan a desbordamientos de búfer de la pila en la función load_pnm() pueden ser desencadenados mediante un archivo de entrada especialmente diseñado procesado por CImg, lo que puede afectar la disponibilidad de la aplicación o la integridad de los datos
Vulnerabilidad en "object-hierarchy-access" (CVE-2020-28270)
Gravedad:
AltaAlta
Publication date: 12/11/2020
Last modified:
04/12/2020
Descripción:
Una vulnerabilidad de contaminación de prototipo en "object-hierarchy-access" versiones 0.2.0 hasta la versión 0.32.0, permite a un atacante causar una denegación de servicio y puede conllevar a una ejecución de código remota