Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en AcquireVirtualMemory en ImageMagick (CVE-2016-7539)
Gravedad:
AltaAlta
Publication date: 25/07/2017
Last modified:
27/07/2017
Descripción:
Una pérdida de memoria en la función AcquireVirtualMemory en ImageMagick anterior a versión 7, permite a los atacantes remotos causar una denegación de servicio (consumo de memoria) por medio de vectores no especificados.
Vulnerabilidad en en IBM WebSphere (CVE-2017-1382)
Gravedad:
BajaBaja
Publication date: 24/07/2017
Last modified:
02/10/2019
Descripción:
IBM WebSphere Application Server versión 7.0,versión 8.0,versión 8.5 y versión 9.0 podría crear archivos usando los permisos por defecto en lugar de los permisos personalizados cuando se usan scripts de inicio personalizados. Un atacante local podría explotar esto para obtener acceso a archivos con un impacto desconocido. ID de IBM X-Force: 127153.
Vulnerabilidad en IBM WebSphere Application Server (CVE-2017-1380)
Gravedad:
BajaBaja
Publication date: 24/07/2017
Last modified:
03/05/2019
Descripción:
IBM WebSphere Application Server 7.0, 8.0, 8.5 y 9.0 es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 127151.
Vulnerabilidad en IBM Rational Software Architect Design Manager (CVE-2017-1245)
Gravedad:
BajaBaja
Publication date: 24/07/2017
Last modified:
27/07/2017
Descripción:
IBM Rational Software Architect Design Manager 5.0 y 6.0 es vulnerable a ataques Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 124580.
Vulnerabilidad en la interfaz de usuario web en IBM Emptoris Supplier Lifecycle Management (CVE-2016-6118)
Gravedad:
BajaBaja
Publication date: 24/07/2017
Last modified:
27/07/2017
Descripción:
IBM Emptoris Supplier Lifecycle Management versión 10.1.0.x, es vulnerable a ataques de tipo cross-site scripting. Esta vulnerabilidad permite a los usuarios insertar código JavaScript arbitrario en la interfaz de usuario web, y por lo tanto, alterar la funcionalidad deseada que podría conllevar a la revelación de credenciales dentro de una sesión confiable. ID de IBM X-Force: 118356.
Vulnerabilidad en el archivo libraries/Template.php en el parámetro field en dayrui FineCms (CVE-2017-11584)
Gravedad:
AltaAlta
Publication date: 23/07/2017
Last modified:
27/07/2017
Descripción:
dayrui FineCms versión 5.0.9, se presenta una inyección SQL por medio del parámetro field en una petición action=module, action=member, action=form o action=related en el archivo libraries/Template.php.
Vulnerabilidad en el archivo libraries/Template.php en el parámetro catid en dayrui FineCms (CVE-2017-11583)
Gravedad:
AltaAlta
Publication date: 23/07/2017
Last modified:
27/07/2017
Descripción:
dayrui FineCms versión 5.0.9, tiene una vulnerabilidad de inyección SQL por medio del parámetro catid en una petición action=related en el archivo libraries/Template.php.
Vulnerabilidad en el archivo libraries/Template.php en el parámetro num en dayrui FineCms (CVE-2017-11582)
Gravedad:
AltaAlta
Publication date: 23/07/2017
Last modified:
27/07/2017
Descripción:
dayrui FineCms versión 5.0.9, tiene una vulnerabilidad de inyección SQL por medio del parámetro num en una petición action=related o action=tags en el archivo libraries/Template.php.
CVE-2017-11568
Gravedad:
MediaMedia
Publication date: 23/07/2017
Last modified:
13/01/2020
Descripción:
FontForge versión 20161012, es vulnerable a una lectura excesiva del búfer en la región heap de la memoria en la función PSCharStringToSplines (psread.c) resultando en una DoS o ejecución de código por medio de un archivo otf creado.
CVE-2017-11573
Gravedad:
MediaMedia
Publication date: 23/07/2017
Last modified:
13/01/2020
Descripción:
FontForge versión 20161012, es vulnerable a una lectura excesiva del búfer en la función ValidatePostScriptFontName (parsettf.c) resultando en una DoS o ejecución de código por medio de un archivo otf creado.
Vulnerabilidad en la función readcfftopdicts en el archivo parsettf.c en FontForge (CVE-2017-11572)
Gravedad:
MediaMedia
Publication date: 23/07/2017
Last modified:
13/01/2020
Descripción:
FontForge versión 20161012, es vulnerable a una lectura excesiva del búfer en la región heap de la memoria en la función readcfftopdicts (parsettf.c) resultando en una DoS o ejecución de código por medio de un archivo otf creado.
Vulnerabilidad en la función addnibble en el archivo parsettf.c en FontForge (CVE-2017-11571)
Gravedad:
MediaMedia
Publication date: 23/07/2017
Last modified:
13/01/2020
Descripción:
FontForge versión 20161012, es vulnerable a un desbordamiento de búfer en la región stack de la memoria en la función addnibble (parsettf.c) resultando en una DoS o ejecución de código por medio de un archivo otf creado.
Vulnerabilidad en umodenc en el archivo parsettf.c en FontForge (CVE-2017-11570)
Gravedad:
MediaMedia
Publication date: 23/07/2017
Last modified:
13/01/2020
Descripción:
FontForge versión 20161012, es vulnerable a una lectura en exceso del búfer en la función umodenc (parsettf.c) resultando en una DoS o ejecución de código por medio de un archivo otf creado.
Vulnerabilidad en tcpdump (CVE-2017-11543)
Gravedad:
AltaAlta
Publication date: 23/07/2017
Last modified:
16/05/2018
Descripción:
tcpdump 4.9.0 presenta un desbordamiento de búfer en la función sliplink_print en print-sl.c.
Vulnerabilidad en tcpdump (CVE-2017-11542)
Gravedad:
AltaAlta
Publication date: 23/07/2017
Last modified:
02/10/2019
Descripción:
tcpdump 4.9.0 presenta una sobrelectura de búfer basada en memoria dinámica (heap) en la función pimv1_print en print-pim.c.
Vulnerabilidad en tcpdump (CVE-2017-11541)
Gravedad:
AltaAlta
Publication date: 23/07/2017
Last modified:
02/10/2019
Descripción:
tcpdump 4.9.0 presenta una sobrelectura de búfer basada en memoria dinámica (heap) en la función lldp_print en print-lldp.c. Esto está relacionado con to util-print.c.
Vulnerabilidad en el servicio MS-MPC o MS-MIC de PIC en ALG en Juniper Networks Junos OS (CVE-2017-2346)
Gravedad:
MediaMedia
Publication date: 17/07/2017
Last modified:
09/10/2019
Descripción:
Un servicio MS-MPC o MS-MIC de PIC puede bloquearse cuando se pasan paquetes fragmentados grandes por medio de una Application Layer Gateway (ALG). Los bloqueos repetidos del equipo de servicio pueden resultar en una condición de denegación de servicio extendida. El problema se puede visualizar solamente si el NAT o las reglas del Cortafuegos con estado se configuran con la ALG habilitada. Este problema fue causado por el cambio de código para PR 1182910 en Junos OS versiones 14.1X55-D30, 14.1X55-D35, 14.2R7, 15.1R5 y 16.1R2. Ninguna otra versión del sistema operativo Junos y ningún otro producto o plataforma de Juniper Networks están afectados por este problema. Las versiones afectadas son Juniper Networks Junos OS en plataformas MX que se ejecutan: versión 14.1X55 de 14.1X55-D30 a versiones anteriores a 14.1X55-D35; versión 14.2R de 14.2R7 a las versiones anteriores a 14.2R7-S4, 14.2R8; versión 15.1R de 15.1R5 a las versiones anteriores a 15.1R5-S2, 15.1R6; versión 16.1R de 16.1R2 a las versiones anteriores a 16.1R3-S2, 16.1R4.
Vulnerabilidad en las consultas CREATE y ALTER SQL en el archivo install/page_dbsettings.php en la distribución Core de XOOPS (CVE-2017-11174)
Gravedad:
AltaAlta
Publication date: 12/07/2017
Last modified:
27/07/2017
Descripción:
En el archivo install/page_dbsettings.php en la distribución Core de XOOPS versión 2.5.8.1, datos no filtrados pasados ??a las consultas CREATE y ALTER SQL causaron una inyección SQL en la página de configuración de la base de datos, relacionada con el uso de GBK en las sentencias CHARACTER SET y COLLATE.
Vulnerabilidad en Las versiones de Puppet Enterprise (CVE-2017-2294)
Gravedad:
MediaMedia
Publication date: 05/07/2017
Last modified:
24/05/2018
Descripción:
Las versiones de Puppet Enterprise anteriores a 2016.4.5 o 2017.2.1, no pudieron marcar las claves privadas del servidor MCollective como confidenciales (una funcionalidad agregada en Puppet versión 4.6), ya que los valores de clave podrían ser registrados y almacenados en PuppetDB. Estas versiones utilizan el tipo de datos confidenciales para garantizar que esto no suceda.
Vulnerabilidad en SensorX23 QC Slave, Speed Batcher (CVE-2016-9358)
Gravedad:
AltaAlta
Publication date: 30/06/2017
Last modified:
09/10/2019
Descripción:
Se detectó un problema de contraseñas codificadas en el terminal M3000 de Marel Food Processing Systems asociado con los siguientes sistemas: A320, A325, A371, A520 Master, A520 Slave, A530, A542, A571, Check Bin Grader, FlowlineQC T376, IPM3 Dual Cam v132, IPM3 Dual V139 , IPM3 Single Cam v132, P520, P574, línea de flujo SensorX13 QC, SensorX23 QC Master, SensorX23 QC Slave, Speed Batcher, T374, T377, V36, V36B y V36C; Terminal M3210 asociado a los mismos sistemas que el terminal M3000 identificado anteriormente; Software de escritorio M3000 asociado a los mismos sistemas que el terminal M3000 identificado anteriormente; Controlador MAC4 asociado a los mismos sistemas que el terminal M3000 identificado anteriormente; SensorX23 Máquina de rayos X; SensorX25 Máquina de rayos X; y el sistema de pesaje MWS2. El usuario final no tiene la capacidad de cambiar contraseñas del sistema.