Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Trend Micro Control Manager (CVE-2018-10511)
Gravedad:
MediaMedia
Publication date: 15/08/2018
Last modified:
28/05/2020
Descripción:
Una vulnerabilidad en Trend Micro Control Manager (versiones 6.0 y 7.0) podría permitir que un atacante lleve a cabo un ataque de SSRF (Server-Side Request Forgery) en instalaciones vulnerables.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Oracle Java SE (CVE-2018-3157)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Java SE de Oracle Java SE (subcomponente: Sound). La versión compatible afectada es Java SE: 11. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE. Los ataques exitosos de esta vulnerabilidad pueden resultar en un acceso de lectura sin autorización a un subconjunto de datos accesibles de Java SE. Nota: esta vulnerabilidad se aplica a implementaciones Java que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en el sandbox Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). CVSS 3.0 Base Score 3.7 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en Oracle Hospitality Applications (CVE-2018-3181)
Gravedad:
BajaBaja
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Hospitality Cruise Shipboard Property Management System de Oracle Hospitality Applications (subcomponente: OHC ENOAD). La versión compatible afectada es la 8.0. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios que consiga iniciar sesión en la infraestructura en la que se ejecuta Oracle Hospitality Cruise Shipboard Property Management System comprometa la seguridad de Oracle Hospitality Cruise Shipboard Property Management System. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos de suma importancia o un acceso completo a todos los datos accesibles de Oracle Hospitality Cruise Shipboard Property Management System. CVSS 3.0 Base Score 5.5 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en Oracle Java SE (CVE-2018-3180)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en los componentes Java SE, Java SE Embedded y JRockit de Oracle Java SE (subcomponente: JSSE). Las versiones compatibles que se han visto afectadas son JavaSE: 6u201, 7u191, 8u182 y 11; Java SE Embedded: 8u181; JRockit: R28.3.19. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por SSL/TLS comprometa la seguridad de Java SE, Java SE Embedded y JRockit. Los ataques exitosos de esta vulnerabilidad pueden resultar en la actualización, inserción o eliminación de acceso sin autorización de algunos de los datos accesibles de Java SE, Java SE Embedded y JRockit, así como el acceso de lectura sin autorización a un subconjunto de datos accesibles de Java SE, Java SE Embedded y JRockit y la capacidad no autorizada de provocar una denegación de servicio parcial (DOS parcial) de Java SE, Java SE Embedded y JRockit. Nota: esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox (en Java SE 8) que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en el sandbox Java para protegerse. Esta vulnerabilidad también puede ser explotada mediante API en el componente especificado, por ejemplo, mediante un servicio web que proporciona datos a las API. CVSS 3.0 Base Score 5.6 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3179)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Identity Manager de Oracle Fusion Middleware (subcomponente: Advanced Console). Las versiones compatibles que se han visto afectadas son la 11.1.2.3.0 y la 12.2.1.3.0. Esta vulnerabilidad fácilmente explotable permite que un atacante sin autenticar con acceso a red por HTTP comprometa la seguridad de Oracle Identity Manager. Aunque la vulnerabilidad está presente en Oracle Identity Manager, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso de lectura sin autorización de un subconjunto de datos accesibles de Oracle Identity Manager. Además, esto podría dar lugar a que el atacante consiga provocar una denegación de servicio parcial (DoS parcial) de Oracle Identity Manager. CVSS 3.0 Base Score 7.2 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L).
Vulnerabilidad en Oracle Java SE (CVE-2018-3169)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en los componentes Java SE y Java SE Embedded de Oracle Java SE (subcomponente: Hotspot). Las versiones compatibles que se han visto afectadas son JavaSE: 7u191, 8u182 y 11; Java SE Embedded: 8u181. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE y Java SE Embedded. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Java SE y Java SE Embedded, los ataques podrían afectar ligeramente a productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Java SE y Java SE Embedded. Nota: esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox (en Java SE 8) que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en el sandbox Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). CVSS 3.0 Base Score 8.3 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3168)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Identity Analytics de Oracle Fusion Middleware (subcomponente: Core Components). La versión compatible afectada es la 11.1.1.5.8. Una vulnerabilidad fácilmente explotable permite que un atacante con un bajo nivel de privilegios que tenga acceso a red por HTTP comprometa la seguridad de Oracle Identity Analytics. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a la actualización, inserción o supresión de datos de un nivel de importancia crítico o de todos los datos accesibles de Oracle Identity Analytics, así como el acceso de lectura sin autorización a un subconjunto de datos accesibles de Oracle Identity Analytics. CVSS 3.0 Base Score 7.1 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N).
Vulnerabilidad en Oracle Hospitality Applications (CVE-2018-3166)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Hospitality Cruise Fleet Management de Oracle Hospitality Applications (subcomponente: Emergency Response System). La versión compatible afectada es la 9.0. Una vulnerabilidad fácilmente explotable permite que un atacante con un bajo nivel de privilegios que tenga acceso a red por HTTP comprometa la seguridad de Oracle Hospitality Cruise Fleet Management. Los ataques exitosos de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada de datos confidenciales o de todos los datos accesibles de Oracle Hospitality Cruise Fleet Management. CVSS 3.0 Base Score 6.5 (impactos en la integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N).
Vulnerabilidad en Oracle Hospitality Applications (CVE-2018-3163)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Hospitality Cruise Fleet Management de Oracle Hospitality Applications (subcomponente: Emergency Response System). La versión compatible afectada es la 9.0. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Hospitality Cruise Fleet Management. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso de lectura sin autorización de un subconjunto de datos accesibles de Oracle Hospitality Cruise Fleet Management. Además, esto podría dar lugar a que el atacante consiga provocar una denegación de servicio parcial (DoS parcial) de Oracle Hospitality Cruise Fleet Management. CVSS 3.0 Base Score 6.5 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L).
Vulnerabilidad en Oracle Hospitality Applications (CVE-2018-3159)
Gravedad:
BajaBaja
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Hospitality Cruise Fleet Management de Oracle Hospitality Applications (subcomponente: Sender and Receiver). La versión compatible afectada es la 9.0. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios que consiga iniciar sesión en la infraestructura en la que se ejecuta Oracle Hospitality Cruise Fleet Management comprometa la seguridad de Oracle Hospitality Cruise Fleet Management. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos de suma importancia o un acceso completo a todos los datos accesibles de Oracle Hospitality Cruise Fleet Management, así como en la actualización, inserción o supresión sin autorización de algunos de los datos accesibles de Oracle Hospitality Cruise Fleet Management. CVSS 3.0 Base Score 6.1 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N).
Vulnerabilidad en Oracle Hospitality Applications (CVE-2018-3158)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Hospitality Cruise Fleet Management de Oracle Hospitality Applications (subcomponente: Emergency Response System). La versión compatible afectada es la 9.0. Una vulnerabilidad fácilmente explotable permite que un atacante con un bajo nivel de privilegios que tenga acceso a red por HTTP comprometa la seguridad de Oracle Hospitality Cruise Fleet Management. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos de suma importancia o un acceso completo a todos los datos accesibles de Oracle Hospitality Cruise Fleet Management, así como en la actualización, inserción o supresión sin autorización de algunos de los datos accesibles de Oracle Hospitality Cruise Fleet Management. CVSS 3.0 Base Score 7.1 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N).
Vulnerabilidad en Oracle MySQL (CVE-2018-3258)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente MySQL Connectors de Oracle MySQL (subcomponente: Connector/J). Las versiones compatibles que se han visto afectadas son la 8.0.12 y anteriores. Un vulnerabilidad fácilmente explotable permite que un atacante con un bajo nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa la seguridad de MySQL Connectors. Los ataques exitosos a esta vulnerabilidad pueden resultar en la toma de control de MySQL Connectors. CVSS 3.0 Base Score 8.8 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en Oracle Java SE (CVE-2018-3150)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Java SE de Oracle Java SE (subcomponente: Utility). La versión compatible afectada es Java SE: 11. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a la actualización, inserción o supresión de algunos de los datos accesibles de Java SE. Nota: esta vulnerabilidad se aplica a implementaciones Java que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en el sandbox Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). CVSS 3.0 Base Score 3.7 (impactos en la integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N).
Vulnerabilidad en Oracle Java SE (CVE-2018-3149)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en los componentes Java SE, Java SE Embedded y JRockit de Oracle Java SE (subcomponente: JNDI). Las versiones compatibles que se han visto afectadas son JavaSE: 6u201, 7u191, 8u182 y 11; Java SE Embedded: 8u181; JRockit: R28.3.19. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE, Java SE Embedded y JRockit. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Java SE, Java SE Embedded y JRockit, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en la toma de control de Java SE, Java SE Embedded y JRockit. Nota: esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox (en Java SE 8) que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en el sandbox Java para protegerse. Esta vulnerabilidad también puede ser explotada mediante API en el componente especificado, por ejemplo, mediante un servicio web que proporciona datos a las API. CVSS 3.0 Base Score 8.3 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H).
CVE-2018-3134
Gravedad:
BajaBaja
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Agile Product Lifecycle Management for Process de Oracle Supply Chain Products Suite (subcomponente: User Group Management). La versión compatible afectada es la 6.2.0.0. Una vulnerabilidad difícilmente explotable permite que un atacante con un bajo nivel de privilegios y con permisos de inicio de sesión en la infraestructura en la que se ejecuta Oracle Agile Product Lifecycle Management for Process comprometa la seguridad de Oracle Agile Product Lifecycle Management for Process. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a la creación, eliminación o modificación de los datos críticos o todos los datos accesibles de Oracle Agile Product Lifecycle Management for Process, así como el acceso de lectura sin autorización a un subconjunto de datos accesibles de Oracle Agile Product Lifecycle Management for Process. CVSS 3.0 Base Score 5.0 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:L/I:H/A:N).
Vulnerabilidad en Oracle Food and Beverage Applications (CVE-2018-3131)
Gravedad:
BajaBaja
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Hospitality Gift and Loyalty de Oracle Food and Beverage Applications (subcomponente: La versión compatible afectada es la 9.0. Esta vulnerabilidad fácilmente explotable permite que un atacante con el privilegio Report e inicio de sesión en la infraestructura en la que se ejecuta Oracle Hospitality Gift and Loyalty comprometa la seguridad de Oracle Hospitality Gift and Loyalty. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle Hospitality Gift and Loyalty, así como en el acceso no autorizado de actualización, inserción o supresión a algunos de los datos accesibles de Oracle Hospitality Gift and Loyalty. CVSS 3.0 Base Score 6.1 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N).
Vulnerabilidad en Oracle Supply Chain Products Suite (CVE-2018-3127)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Demantra Demand Management de Oracle Supply Chain Products Suite (subcomponente: Product Security). Las versiones compatibles que se han visto afectadas son la 7.3.5 y 12.2. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Demantra Demand Management. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a la actualización, inserción o supresión de algunos de los datos accesibles de Oracle Demantra Demand Management. CVSS 3.0 Base Score 4.3 (impactos en la integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N).
Vulnerabilidad en Oracle Retail Applications (CVE-2018-3126)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Retail Xstore Point of Service de Oracle Retail Applications (subcomponente: Xenvironment). Las versiones soportadas que se han visto afectadas son la 15.0.2, 16.0.4 y la 17.0.2. Una vulnerabilidad difícilmente explotable permite que un atacante con muchos privilegios que tenga acceso a red por HTTP comprometa la seguridad de Oracle Retail Xstore Point of Service. Los ataques exitosos a esta vulnerabilidad pueden resultar en la toma de control de Oracle Retail Xstore Point of Service. CVSS 3.0 Base Score 6.6 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en Oracle Retail Applications (CVE-2018-3122)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Retail Open Commerce Platform de Oracle Retail Applications (subcomponente: Integrations). Las versiones compatibles que se han visto afectadas son la 6.0, 6.0.1 y 5.3. Una vulnerabilidad difícilmente explotable permite que un atacante con pocos privilegios que tenga acceso a red por HTTP comprometa la seguridad de Oracle Retail Open Commerce Platform. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado de creación, supresión o modificación de datos críticos o de todos los datos accesibles de Oracle Retail Open Commerce Platform, así como el acceso sin autorización a datos crítico o todos los datos accesibles de Oracle Retail Open Commerce Platform. CVSS 3.0 Base Score 6.8 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle Retail Applications (CVE-2018-3115)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Retail Sales Audit de Oracle Retail Applications (subcomponente: Operational Insights). Las versiones compatibles que se han visto afectadas son la 15.0 y la 16.0. Una vulnerabilidad difícilmente explotable permite que un atacante con pocos privilegios que tenga acceso a red por HTTP comprometa la seguridad de Oracle Retail Sales Audit. Aunque la vulnerabilidad está presente en Oracle Retail Sales Audit, los ataques podrían afectar significativamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Oracle Retail Sales Audit, así como el acceso no autorizado de actualización, inserción o supresión de algunos de los datos accesibles de Oracle Retail Sales Audit. Además, puede dar lugar a la capacidad no autorizada de provocar una denegación de servicio parcial (DoS parcial) de Oracle Retail Sales Audit. CVSS 3.0 Base Score 7.7 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:L).
Vulnerabilidad en Oracle Hyperion (CVE-2018-3184)
Gravedad:
BajaBaja
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Hyperion BI+ en Oracle Hyperion (subcomponente: IQR - Foundation Services). La versión compatible afectada es la 11.1.2.4. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por HTTP comprometa la seguridad de Hyperion BI+. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos de esta vulnerabilidad pueden resultar en un acceso de lectura sin autorización a un subconjunto de datos accesibles de Hyperion BI+. CVSS 3.0 Base Score 2.4 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:N).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3238)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle WebCenter Sites de Oracle Fusion Middleware (subcomponente: Advanced UI). La versión compatible afectada es la 11.1.1.8.0. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por HTTP comprometa la seguridad de Oracle WebCenter Sites. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Oracle WebCenter Sites, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos de suma importancia o un acceso completo a todos los datos accesibles de Oracle WebCenter Sites; así como en la actualización, inserción o supresión sin autorización de algunos de los datos accesibles de Oracle WebCenter Sites. CVSS 3.0 Base Score 6.9 (impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle E-Business Suite (CVE-2018-3237)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
24/08/2020
Descripción:
Vulnerabilidad en el componente Oracle Applications Manager en Oracle E-Business Suite (subcomponente: Support Cart). Las versiones compatibles que se han visto afectadas son la 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6 y la 12.2.7. Esta vulnerabilidad fácilmente explotable permite que un atacante sin autenticar con acceso en red via HTTP comprometa la seguridad de Oracle Applications Manager. Los ataques exitosos de esta vulnerabilidad pueden resultar en un acceso de lectura sin autorización a un subconjunto de datos accesibles de Oracle Applications Manager. CVSS 3.0 Base Score 5.3 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en Oracle E-Business Suite (CVE-2018-3236)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle User Management de Oracle E-Business Suite (subcomponente: Reports). Las versiones compatibles que se han visto afectadas son la 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6 y la 12.2.7. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por HTTP comprometa la seguridad de Oracle User Management. Los ataques exitosos a esta vulnerabilidad pueden resultar en la creación, supresión o modificación sin autorización de datos de suma importancia o de todos los datos accesibles de Oracle User Management, así como el acceso sin autorización a datos de nivel de importancia crítico o todos los datos accesibles de Oracle User Management. CVSS 3.0 Base Score 6.5 (impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle E-Business Suite (CVE-2018-3235)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Applications Manager en Oracle E-Business Suite (subcomponente: ninguno). Las versiones compatibles que se han visto afectadas son la 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6 y la 12.2.7. Esta vulnerabilidad fácilmente explotable permite que un atacante sin autenticar con acceso en red via HTTP comprometa la seguridad de Oracle Applications Manager. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Oracle Applications Manager, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos de suma importancia o un acceso completo a todos los datos accesibles de Oracle Applications Manager; así como en la actualización, inserción o supresión sin autorización de algunos de los datos accesibles de Oracle Applications Manager. CVSS 3.0 Base Score 8.2 (impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3215)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Endeca Information Discovery Integrator de Oracle Fusion Middleware (subcomponente: Integrator ETL). Las versiones compatibles que se han visto afectadas son la 3.1.0 y la 3.2.0. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Endeca Information Discovery Integrator. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a la actualización, inserción o supresión de algunos de los datos accesibles de Oracle Endeca Information Discovery Integrator; así como en el acceso de lectura sin autorización de un subconjunto de datos accesibles de Oracle Endeca Information Discovery Integrator. CVSS 3.0 Base Score 5.4 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N).
Vulnerabilidad en Oracle Java SE (CVE-2018-3214)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en los componentes Java SE, Java SE Embedded y JRockit de Oracle Java SE (subcomponente: Sound). Las versiones compatibles que se han visto afectadas son JavaSE: 6u201, 7u191 y 8u182; Java SE Embedded: 8u181; JRockit: R28.3.19. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Java SE, Java SE Embedded y JRockit. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a que el atacante consiga provocar una denegación de servicio parcial (DoS parcial) de Java SE, Java SE Embedded y JRockit. Nota: esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox (en Java SE 8) que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en el sandbox Java para protegerse. Esta vulnerabilidad también puede ser explotada mediante API en el componente especificado, por ejemplo, mediante un servicio web que proporciona datos a las API. CVSS 3.0 Base Score 5.3 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3213)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (subcomponente: Docker Images). La versión compatible afectada es la anterior a la Docker 12.2.1.3.20180913. Esta vulnerabilidad fácilmente explotable permite que un atacante sin autenticar con acceso en red via T3 comprometa la seguridad de Oracle WebLogic Server. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos de suma importancia o un acceso completo a todos los datos accesibles de Oracle WebLogic Server. CVSS 3.0 Base Score 7.5 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en Oracle Java SE (CVE-2018-3211)
Gravedad:
BajaBaja
Publication date: 16/10/2018
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en los componentes Java SE y Java SE Embedded de Oracle Java SE (subcomponente: Serviceability). Las versiones compatibles que se han visto afectadas son JavaSE: 8u182 y 11; Java SE Embedded: 8u181. Esta vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios y con inicio de sesión en la infraestructura en la que se ejecutan Java SE y Java SE Embedded comprometa la seguridad de Java SE y Java SE Embedded. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden resultar en el acceso no autorizado a la actualización, inserción o supresión de datos confidenciales o de todos los datos accesibles de Java SE y Java SE Embedded, así como el acceso sin autorización a datos confidenciales o todos los datos accesibles de Java SE y Java SE Embedded. Nota: esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox (en Java SE 8) que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en el sandbox Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). Esta vulnerabilidad solo se puede explotar cuando se emplea la funcionalidad Java Usage Tracker. CVSS 3.0 Base Score 6.6 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N).
Vulnerabilidad en Oracle Hyperion (CVE-2018-3208)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Hyperion Data Relationship Management en Oracle Hyperion (subcomponente: Access and Security). La versión compatible afectada es la 11.1.2.4.345. Una vulnerabilidad fácilmente explotable permite que un atacante con pocos privilegios que tenga acceso a red por HTTP comprometa la seguridad de Hyperion Data Relationship Management. Aunque la vulnerabilidad está presente en Hyperion Data Relationship Management, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos de suma importancia o un acceso completo a todos los datos accesibles de Hyperion Data Relationship Management. CVSS 3.0 Base Score 7.7 (impactos en la confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N).
Vulnerabilidad en Oracle Java SE (CVE-2018-3183)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en los componentes Java SE, Java SE Embedded y JRockit de Oracle Java SE (subcomponente: Scripting). Las versiones compatibles que se han visto afectadas son JavaSE: 8u182 y 11; Java SE Embedded: 8u181; JRockit: R28.3.19. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE, Java SE Embedded y JRockit. Aunque la vulnerabilidad está presente en Java SE, Java SE Embedded y JRockit, los ataques podrían afectar ligeramente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en la toma de control de Java SE, Java SE Embedded y JRockit. Nota: esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox (en Java SE 8) que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en el sandbox Java para protegerse. Esta vulnerabilidad también puede ser explotada mediante API en el componente especificado, por ejemplo, mediante un servicio web que proporciona datos a las API. CVSS 3.0 Base Score 9.0 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H).
Vulnerabilidad en Oracle E-Business Suite (CVE-2018-3188)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle iStore de Oracle E-Business Suite (subcomponente: Web interface). Las versiones compatibles que se han visto afectadas son la 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6 y la 12.2.7. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar con acceso a red por HTTP comprometa la seguridad de Oracle iStore. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Oracle iStore, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos confidenciales o un acceso completo a todos los datos accesibles de Oracle iStore; así como en el acceso no autorizado de actualización, inserción o eliminación de algunos de los datos accesibles de Oracle iStore. CVSS 3.0 Base Score 8.2 (impactos de confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3191)
Gravedad:
AltaAlta
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (subcomponente: WLS Core Components). Las versiones compatibles que se han visto afectadas son la 10.3.6.0, 12.1.3.0 y la 12.2.1.3. Esta vulnerabilidad fácilmente explotable permite que un atacante sin autenticar con acceso en red via T3 comprometa la seguridad de Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server. CVSS 3.0 Base Score 9.8 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en Oracle E-Business Suite (CVE-2018-3196)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Partner Management de Oracle E-Business Suite (subcomponente: Partner Dashboard). Las versiones compatibles que se han visto afectadas son la 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6 y la 12.2.7. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Partner Management. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Oracle Partner Management, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a información crítica o un acceso completo a todos los datos accesibles de Oracle Partner Management; así como en el acceso no autorizado de actualización, inserción o supresión de algunos de los datos accesibles de Oracle Partner Management. CVSS 3.0 Base Score 8.2 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3197)
Gravedad:
AltaAlta
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (subcomponente: WLS Core Components). La versión compatible afectada es la 12.1.3.0. Esta vulnerabilidad fácilmente explotable permite que un atacante sin autenticar con acceso en red via T3 comprometa la seguridad de Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server. CVSS 3.0 Base Score 9.8 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3201)
Gravedad:
AltaAlta
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (subcomponente: WLS Core Components). La versión compatible afectada es la 12.2.1.3. Esta vulnerabilidad fácilmente explotable permite que un atacante sin autenticar con acceso en red via T3 comprometa la seguridad de Oracle WebLogic Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server. CVSS 3.0 Base Score 9.8 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3204)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
02/10/2019
Descripción:
Vulnerabilidad en el componente Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (subcomponente: Analytics Server). La versión compatible afectada es la 12.2.1.3.0. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Business Intelligence Enterprise Edition. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Oracle Business Intelligence Enterprise Edition, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en un acceso no autorizado a datos de suma importancia o un acceso completo a todos los datos accesibles de Oracle Business Intelligence Enterprise Edition; así como el acceso no autorizado de actualización, inserción o supresión a algunos de los datos accesibles de Oracle Business Intelligence Enterprise Edition. CVSS 3.0 Base Score 8.2 (impactos en la confidencialidad e integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en Oracle Java SE (CVE-2018-3209)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
08/09/2020
Descripción:
Vulnerabilidad en el componente Java SE de Oracle Java SE (subcomponente: JavaFX). La versión compatible afectada es Java SE: 8u182. Una vulnerabilidad difícilmente explotable permite que un atacante sin autenticar que tenga acceso a red por múltiples protocolos comprometa la seguridad de Java SE. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante y, aunque la vulnerabilidad está presente en Java SE, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden resultar en la toma de control de Java SE. Nota: esta vulnerabilidad se aplica a implementaciones Java, normalmente en clientes que ejecutan aplicaciones Java Web Start en sandbox o applets Java en sandbox (en Java SE 8) que cargan y ejecutan código que no es de confianza (por ejemplo, código proveniente de internet) y que confían en el sandbox Java para protegerse. Esta vulnerabilidad no se aplica a implementaciones Java, normalmente en servidores, que solo cargan y ejecutan código de confianza (por ejemplo, código instalado por un administrador). CVSS 3.0 Base Score 8.3 (impactos en la confidencialidad, integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H).
Vulnerabilidad en glusterfs (CVE-2018-10930)
Gravedad:
MediaMedia
Publication date: 04/09/2018
Last modified:
02/10/2019
Descripción:
Se ha detectado un error en las peticiones RPC que emplean gfs3_rename_req en el servidor glusterfs. Un atacante autenticado podría emplear este error para escribir a un destino fuera del volumen gluster.
Vulnerabilidad en glusterfs (CVE-2018-10929)
Gravedad:
MediaMedia
Publication date: 04/09/2018
Last modified:
02/04/2019
Descripción:
Se ha detectado un error en las peticiones RPC que emplean gfs2_create_req en el servidor glusterfs. Un atacante autenticado podría emplear este error para crear archivos arbitrarios y ejecutar código arbitrario en un nodo del servidor glusterfs.
Vulnerabilidad en glusterfs (CVE-2018-10928)
Gravedad:
MediaMedia
Publication date: 04/09/2018
Last modified:
02/04/2019
Descripción:
Se ha detectado un error en las peticiones RPC que emplean gfs3_symlink_req en el servidor glusterfs, lo que permite que los destinos symlink señalen a rutas de archivo fuera del volumen gluster. Un atacante autenticado podría emplear este error para crear symlinks arbitrarios que señalen a cualquier lugar del servidor y ejecutar código arbitrario en un nodo del servidor glusterfs.
Vulnerabilidad en glusterfs (CVE-2018-10926)
Gravedad:
MediaMedia
Publication date: 04/09/2018
Last modified:
02/04/2019
Descripción:
Se ha detectado un error en las peticiones RPC que emplean gfs3_mknod_req soportadas por el servidor glusterfs. Un atacante autenticado podría emplear este error para escribir archivos en una ubicación arbitraria mediante un salto de directorio y ejecutar código arbitrario en un nodo del servidor glusterfs.
Vulnerabilidad en glusterfs (CVE-2018-10927)
Gravedad:
MediaMedia
Publication date: 04/09/2018
Last modified:
02/10/2019
Descripción:
Se ha detectado un error en las peticiones RPC que emplean gfs3_lookup_req en el servidor glusterfs. Un atacante autenticado podría emplear este error para filtrar información y ejecutar una denegación de servicio (DoS) remota provocando el cierre inesperado del proceso brick de gluster.
Vulnerabilidad en WUZHI CMS (CVE-2018-16350)
Gravedad:
MediaMedia
Publication date: 02/09/2018
Last modified:
23/10/2018
Descripción:
WUZHI CMS 4.1.0 tiene Cross-Site Scripting (XSS) mediante el parámetro form[statcode] en index.php?m=coref=setv=basic.
Vulnerabilidad en WUZHI CMS (CVE-2018-16349)
Gravedad:
MediaMedia
Publication date: 02/09/2018
Last modified:
23/10/2018
Descripción:
WUZHI CMS 4.1.0 tiene Cross-Site Scripting (XSS) mediante el parámetro form[remark] en index.php?m=linkf=indexv=add.
Vulnerabilidad en DamiCMS (CVE-2018-16331)
Gravedad:
MediaMedia
Publication date: 02/09/2018
Last modified:
23/10/2018
Descripción:
admin.php?s=/Admin/doedit en DamiCMS v6.0.0 permite que Cross-Site Request Forgery (CSRF) cambie la contraseña de la cuenta de administrador.
Vulnerabilidad en cPanel (CVE-2018-16236)
Gravedad:
MediaMedia
Publication date: 30/08/2018
Last modified:
23/10/2018
Descripción:
cPanel hasta la versión 74 permite Cross-Site Scripting (XSS) mediante un nombre de archivo manipulado en el subdirectorio logs de una cuenta de usuario, debido a que el nombre de archivo se gestiona de manera incorrecta durante el renderizado de frontend/THEME/raw/index.html.
Vulnerabilidad en MorningStar WhatWeb (CVE-2018-16234)
Gravedad:
MediaMedia
Publication date: 30/08/2018
Last modified:
23/10/2018
Descripción:
MorningStar WhatWeb 0.4.9 tiene Cross-Site Scripting (XSS) mediante los archivos de reporte de JSON.
Vulnerabilidad en get_line() en fig2dev (CVE-2018-16140)
Gravedad:
MediaMedia
Publication date: 29/08/2018
Last modified:
21/01/2020
Descripción:
Una vulnerabilidad de subescritura de búfer en get_line() (en read.c) en fig2dev 3.2.7a permite que un atacante escriba antes del comienzo del búfer mediante un archivo .fig manipulado.
Vulnerabilidad en phpMyFAQ (CVE-2014-6050)
Gravedad:
MediaMedia
Publication date: 28/08/2018
Last modified:
23/10/2018
Descripción:
phpMyFAQ en versiones anteriores a la 2.8.13 permite que atacantes remotos omitan el mecanismo de protección CAPTCHA reproduciendo la petición.
Vulnerabilidad en phpMyFAQ (CVE-2014-6049)
Gravedad:
MediaMedia
Publication date: 28/08/2018
Last modified:
23/10/2018
Descripción:
phpMyFAQ en versiones anteriores a la 2.8.13 permite que usuarios autenticados remotos con privilegios de administrador omitan la autorización mediante un parámetro ID de instancia manipulado.
Vulnerabilidad en phpMyFAQ (CVE-2014-6048)
Gravedad:
MediaMedia
Publication date: 28/08/2018
Last modified:
23/10/2018
Descripción:
phpMyFAQ en versiones anteriores a la 2.8.13 permite que atacantes remotos lean archivos adjuntos arbitrarios mediante una petición directa.
Vulnerabilidad en phpMyFAQ (CVE-2014-6047)
Gravedad:
MediaMedia
Publication date: 28/08/2018
Last modified:
23/10/2018
Descripción:
phpMyFAQ en versiones anteriores a la 2.8.13 permite que usuarios autenticados remotos con determinados permisos lean archivos adjuntos arbitrarios aprovechando comprobaciones incorrectas del permiso "download an attachment".
Vulnerabilidad en WUZHI CMS (CVE-2018-15894)
Gravedad:
AltaAlta
Publication date: 27/08/2018
Last modified:
23/10/2018
Descripción:
Se ha descubierto una inyección SQL en /coreframe/app/admin/pay/admin/index.php en WUZHI CMS 4.1.0 mediante el parámetro keyValue en index.php?m=payf=indexv=listing.
Vulnerabilidad en WUZHI CMS (CVE-2018-15893)
Gravedad:
AltaAlta
Publication date: 27/08/2018
Last modified:
23/10/2018
Descripción:
Se ha descubierto una inyección SQL en /coreframe/app/admin/copyfrom.php en WUZHI CMS 4.1.0 mediante el parámetro keywords en index.php?m=coref=copyfromv=listing.
Vulnerabilidad en xkbcommon (CVE-2018-15864)
Gravedad:
BajaBaja
Publication date: 25/08/2018
Last modified:
06/08/2019
Descripción:
El uso de un puntero NULL no verificado en resolve_keysym en xkbcomp/parser.y en xkbcommon, en versiones anteriores a la 0.8.2, podría ser aprovechado por atacantes locales para provocar el cierre inesperado (desreferencia de puntero NULL) del analizador xkbcommon proporcionando un archivo keymap manipulado, debido a que puede ocurrir un intento de acceso al mapa para un mapa que nunca ha sido creado.
Vulnerabilidad en xkbcommon (CVE-2018-15858)
Gravedad:
BajaBaja
Publication date: 25/08/2018
Last modified:
19/03/2019
Descripción:
El uso de un puntero NULL no verificado al gestionar alias inválidos en CopyKeyAliasesToKeymap en xkbcomp/keycodes.c en xkbcommon, en versiones anteriores a la 0.8.1, podría ser aprovechado por atacantes locales para provocar el cierre inesperado (desreferencia de puntero NULL) del analizador xkbcommon proporcionando un archivo keymap manipulado.
Vulnerabilidad en xkbcommon (CVE-2018-15859)
Gravedad:
BajaBaja
Publication date: 25/08/2018
Last modified:
06/08/2019
Descripción:
El uso de un puntero NULL no verificado al analizar átomos no válidos en ExprResolveLhs en xkbcomp/expr.c en xkbcommon, en versiones anteriores a la 0.8.2, podría ser aprovechado por atacantes locales para provocar el cierre inesperado (desreferencia de puntero NULL) del analizador xkbcommon proporcionando un archivo keymap manipulado, debido a que se gestionan incorrectamente los errores de búsqueda.
Vulnerabilidad en xkbcommon (CVE-2018-15861)
Gravedad:
BajaBaja
Publication date: 25/08/2018
Last modified:
06/08/2019
Descripción:
El uso de un puntero NULL no verificado en ExprResolveLhs en xkbcommon en versiones anteriores a la 0.8.2 podría ser aprovechado por atacantes locales para provocar el cierre inesperado (desreferencia de puntero NULL) del analizador xkbcommon proporcionando un archivo keymap manipulado que desencadena un error xkb_intern_atom.
Vulnerabilidad en xkbcommon (CVE-2018-15862)
Gravedad:
BajaBaja
Publication date: 25/08/2018
Last modified:
06/08/2019
Descripción:
El uso de un puntero NULL no verificado en LookupModMask en xkbcomp/expr.c en xkbcommon, en versiones anteriores a la 0.8.2, podría ser aprovechado por atacantes locales para provocar el cierre inesperado (desreferencia de puntero NULL) del analizador xkbcommon proporcionando un archivo keymap manipulado con modificadores virtuales inválidos.
Vulnerabilidad en xkbcommon (CVE-2018-15863)
Gravedad:
BajaBaja
Publication date: 25/08/2018
Last modified:
06/08/2019
Descripción:
El uso de un puntero NULL no verificado en ResolveStateAndPredicate en xkbcomp/compat.c en xkbcommon, en versiones anteriores a la 0.8.2, podría ser aprovechado por atacantes locales para provocar el cierre inesperado (desreferencia de puntero NULL) del analizador xkbcommon proporcionando un archivo keymap manipulado con una expresión modmask no-op.
Vulnerabilidad en Couchbase Server (CVE-2018-15728)
Gravedad:
AltaAlta
Publication date: 24/08/2018
Last modified:
26/09/2019
Descripción:
Couchbase Server expuso el punto final '/ diag / eval' que por defecto está disponible en TCP / 8091 y / o TCP / 18091. Los usuarios autenticados que tienen asignada la función 'Administrador total' pueden enviar código arbitrario de Erlang al punto final 'diag / eval' de la API y el código se ejecutará posteriormente en el sistema operativo subyacente con privilegios del usuario que se utilizó para iniciar Couchbase. Afecta a la versión: 4.0.0, 4.1.2, 4.5.1, 5.0.0, 4.6.5, 5.0.1, 5.1.1, 5.5.0, 5.5.1. Versión de reparación: 6.0.0, 5.5.2
Vulnerabilidad en Norton Utilities (CVE-2018-5235)
Gravedad:
MediaMedia
Publication date: 22/08/2018
Last modified:
24/08/2020
Descripción:
Norton Utilities (en versiones anteriores a la 16.0.3.44) puede ser susceptible a una vulnerabilidad de precarga de DLL, que es un tipo de problema que puede ocurrir cuando una aplicación busca llamar a un DLL para su ejecución y un atacante proporciona un DLL malicioso para usarlo en su lugar. Dependiendo de cómo esté configurada la aplicación, ésta por lo general seguirá una ruta de búsqueda específica para localizar el DLL. La vulnerabilidad puede ser explotada mediante una escritura simple de archivo (o, potencialmente, una sobrescritura), lo que resulta en un DLL externo que se ejecuta bajo el contexto de la aplicación.
Vulnerabilidad en el plugin katello de Foreman. (CVE-2017-2662)
Gravedad:
MediaMedia
Publication date: 22/08/2018
Last modified:
09/10/2019
Descripción:
Se ha detectado un fallo en la versión 3.4.5 del plugin katello de Foreman. Después de establecer un nuevo rol para permitir el acceso restringido a un repositorio con un filtro (filtro establecido en el nombre del producto), el filtro no se respeta cuando las acciones se realizan a través de hammer usando el id del repositorio.
Vulnerabilidad en Satellite 5 (CVE-2017-7513)
Gravedad:
MediaMedia
Publication date: 22/08/2018
Last modified:
09/10/2019
Descripción:
Se ha detectado que Satellite 5 configurado con SSL/TLS para el backend PostgreSQL no pudo validar correctamente los campos de nombre de host de certificado de servidor X.509. Un atacante Man-in-the-Middle (MitM) podría usar este fallo para falsificar un servidor PostgreSQL usando un certificado X.509 especialmente manipulado.
Vulnerabilidad en Bloop Airmail (CVE-2018-15667)
Gravedad:
MediaMedia
Publication date: 21/08/2018
Last modified:
24/08/2020
Descripción:
Se ha descubierto un error en la versión 3.3.5.9 de Bloop Airmail para macOS. Registra y utiliza el esquema URL airmail://. El comando "send" en el esquema URL permite que una aplicación externa envíe correos arbitrarios desde una cuenta activa sin autenticación. El manipulador no tiene restricciones sobre quién puede utilizar su funcionalidad. El manipulador se puede invocar usando cualquier método que invoque el manipulador URL como un hipervínculo en un correo. No se le pide ninguna confirmación al usuario cuando el manipulador procesa el comando "send", conduciendo al envío automático de un correo manipulado por el atacante desde la cuenta objetivo.
Vulnerabilidad en Vulnerabilidad en lldptool (CVE-2018-10932)
Gravedad:
BajaBaja
Publication date: 21/08/2018
Last modified:
09/10/2019
Descripción:
lldptool en versiones 1.0.1 y anteriores pueden imprimir un búfer en bruto, no saneado y controlado por el atacante cuando se muestra la información de mngAddr. Esto puede permitir a un atacante inyectar caracteres de control shell en el búfer y afectar al comportamiento del terminal.
Vulnerabilidad en Belkin Wemo Insight Smart Plug (CVE-2018-6692)
Gravedad:
AltaAlta
Publication date: 21/08/2018
Last modified:
24/08/2020
Descripción:
La vulnerabilidad de desbordamiento de búfer basado en pila en libUPnPHndlr.so en Belkin Wemo Insight Smart Plug permite a los atacantes remotos omitir la protección de seguridad local a través de un paquete post HTTP manipulado.
Vulnerabilidad en el módulo Paymorrow en Oxid eShop (CVE-2018-14020)
Gravedad:
MediaMedia
Publication date: 20/08/2018
Last modified:
02/10/2019
Descripción:
Se ha descubierto un problema en el módulo Paymorrow en versiones 1.0.0 anteriores a la 1.0.2 y 2.0.0 anteriores a la 2.0.1 para Oxid eShop. Un atacante puede omitir la detección de cambios de direcciones de envío si el módulo de pago no utiliza el procedimiento de verificación de eShop correctamente. Para ello, el atacante debe cambiar la dirección de entrega a una que no esté verificada por el módulo Paymorrow.
Vulnerabilidad en IBM SDK, Java Technology Edition (CVE-2018-1517)
Gravedad:
MediaMedia
Publication date: 20/08/2018
Last modified:
09/10/2019
Descripción:
Un fallo en el componente java.math en IBM SDK, Java Technology Edition 6.0, 7.0 y 8.0 podría permitir que un atacante inflija un ataque de denegación de servicio (DoS) con datos String especialmente manipulados. IBM X-Force ID: 141681.
Vulnerabilidad en phpWhois (CVE-2015-5243)
Gravedad:
AltaAlta
Publication date: 20/08/2018
Last modified:
26/06/2019
Descripción:
hpWhois permite que los atacantes remotos ejecuten código arbitrario mediante un registro whois manipulado.
Vulnerabilidad en Wi2be SMART HP WMT (CVE-2018-14079)
Gravedad:
MediaMedia
Publication date: 20/08/2018
Last modified:
23/10/2018
Descripción:
Wi2be SMART HP WMT R1.2.20_201400922 permite que los atacantes remotos no autorizados obtengan información sensible mediante /Status/SystemStatusRpm.esp.
Vulnerabilidad en Wi2be SMART HP WMT (CVE-2018-14078)
Gravedad:
AltaAlta
Publication date: 20/08/2018
Last modified:
02/10/2019
Descripción:
Wi2be SMART HP WMT R1.2.20_201400922 permite que los atacantes remotos no autorizados reinicien la contraseña del administrador mediante la URL /ConfigWizard/ChangePwd.esp?2admin (los atacante puede iniciar sesión con el nombre de usuario "admin" después de un ataque exitoso).
Vulnerabilidad en Cobbler (CVE-2018-1000226)
Gravedad:
AltaAlta
Publication date: 20/08/2018
Last modified:
02/10/2019
Descripción:
Cobbler en su versión Verified, tal y como está presente en Cobbler en versiones 2.6.11+, aunque la inspección del código sugiere que al menos las versiones 2.0.0+ o incluso anteriores podrían ser vulnerables, contiene una vulnerabilidad de control de acceso incorrecto en la API XMLRPC de Cobbler (/cobbler_api) que puede resultar en un escalado de privilegios, manipulación o exfiltración de datos o la captura de credenciales LDAP. Este ataque parece ser explotable mediante conectividad de red. Se puede aprovechar la validación incorrecta de tokens de seguridad en los endpoints de la API. Nótese que esta vulnerabilidad es diferente de CVE-2018-10931.
Vulnerabilidad en Wi2be SMART HP WMT (CVE-2018-14077)
Gravedad:
MediaMedia
Publication date: 20/08/2018
Last modified:
24/08/2020
Descripción:
Wi2be SMART HP WMT R1.2.20_201400922 permite que los atacantes remotos hagan una copia de seguridad de la configuración del dispositivo mediante una petición directa a /Maintenance/configfile.cfg.
Vulnerabilidad en JabRef (CVE-2018-1000652)
Gravedad:
AltaAlta
Publication date: 20/08/2018
Last modified:
23/10/2018
Descripción:
JabRef en versiones anteriores a la 4.3.0 contiene una vulnerabilidad XXE (XML External Entity) en el analizador sintáctico de XML MsBibImporter, lo que puede resultar en una fuga de datos confidenciales, una denegación de servicio (DoS), Server-Side Request Forgery (SSRF) y escaneo de puertos. Este ataque parece ser explotable mediante un archivo MsBib especialmente manipulado. La vulnerabilidad parece haber sido solucionada tras el commit con ID 89f855d.
Vulnerabilidad en routers Kraftway (CVE-2018-15352)
Gravedad:
MediaMedia
Publication date: 17/08/2018
Last modified:
23/10/2018
Descripción:
Un atacante con privilegios bajos puede provocar una denegación de servicio (DoS) en routers Kraftway 24F2XG en su versión de firmware 3.5.30.1118.
Vulnerabilidad en cryo (CVE-2018-3784)
Gravedad:
AltaAlta
Publication date: 17/08/2018
Last modified:
18/09/2020
Descripción:
Una inyección de código en cryo 0.0.6 permite a un atacante ejecutar código arbitrariamente debido a la implementación insegura de la deserialización.
Vulnerabilidad en Windows Logon Integration del cliente F5 BIG-IP APM (CVE-2018-5547)
Gravedad:
AltaAlta
Publication date: 17/08/2018
Last modified:
09/10/2019
Descripción:
La característica Windows Logon Integration del cliente F5 BIG-IP APM en versiones anteriores a la 7.1.7.1 para Windows utiliza de forma predeterminada el modo de inicio de sesión heredado, que utiliza una cuenta SYSTEM para establecer el acceso a la red. Esta función muestra un cuadro de diálogo de la interfaz de usuario del certificado que contiene el enlace a la política de certificados. Al hacer clic en el enlace, los usuarios sin privilegios pueden abrir cuadros de diálogo adicionales y obtener acceso al explorador de ventanas del equipo local, que se puede utilizar para obtener privilegios de administrador. Windows Logon Integration es vulnerable cuando un administrador instala el cliente APM en un equipo de usuario. Los usuarios que accedan a la máquina local pueden obtener privilegios de administrador
Vulnerabilidad en btrfsmaintenance (CVE-2018-14722)
Gravedad:
AltaAlta
Publication date: 15/08/2018
Last modified:
02/10/2019
Descripción:
Se ha descubierto un problema en evaluate_auto_mountpoint en btrfsmaintenance-functions en btrfsmaintenance hasta la versión 0.4.1. Puede ocurrir una ejecución de código como root mediante una etiqueta de sistema de archivos especialmente manipulada si btrfs-{scrub,balance,trim} está configurado en auto en /etc/sysconfig/btrfsmaintenance (esta no es la configuración por defecto).
Vulnerabilidad en Citrix XenServer (CVE-2018-14007)
Gravedad:
AltaAlta
Publication date: 15/08/2018
Last modified:
23/10/2018
Descripción:
Citrix XenServer en versiones 7.1 y posteriores permite un salto de directorio.
Vulnerabilidad en la interfaz JMX/RMI en Nasdaq BWise (CVE-2018-11247)
Gravedad:
AltaAlta
Publication date: 15/08/2018
Last modified:
23/10/2018
Descripción:
La interfaz JMX/RMI en Nasdaq BWise 5.0 no requiere autenticación para un componente SAP BO, lo que permite que atacantes remotos ejecuten código arbitrario mediante una sesión en el puerto 81.
Vulnerabilidad en Microsoft AutoUpdate (CVE-2018-8412)
Gravedad:
MediaMedia
Publication date: 15/08/2018
Last modified:
23/10/2018
Descripción:
Existe una vulnerabilidad de elevación de privilegios cuando la aplicación Microsoft AutoUpdate (MAU) para Mac valida incorrectamente las actualizaciones antes de ejecutarlos. Esto también se conoce como "Microsoft (MAU) Office Elevation of Privilege Vulnerability". Esto afecta a Microsoft Office.
Vulnerabilidad en OpenEMR (CVE-2018-15152)
Gravedad:
MediaMedia
Publication date: 15/08/2018
Last modified:
23/10/2018
Descripción:
Vulnerabilidad de omisión de autenticación en portal/account/register.php en versiones de OpenEMR anteriores a la 5.0.1.4 permite que un atacante remoto acceda a (1) portal/add_edit_event_user.php, (2) portal/find_appt_popup_user.php, (3) portal/get_allergies.php, (4) portal/get_amendments.php, (5) portal/get_lab_results.php, (6) portal/get_medications.php, (7) portal/get_patient_documents.php, (8) portal/get_problems.php, (9) portal/get_profile.php, (10) portal/portal_payment.php, (11) portal/messaging/messages.php, (12) portal/messaging/secure_chat.php, (13) portal/report/pat_ledger.php, (14) portal/report/portal_custom_report.php o (15) portal/report/portal_patient_report.php sin autenticarse como un paciente.
Vulnerabilidad en cámaras IP de Hikvision (CVE-2018-6414)
Gravedad:
AltaAlta
Publication date: 13/08/2018
Last modified:
23/10/2018
Descripción:
Una vulnerabilidad de desbordamiento de búfer en el servidor web de algunas cámaras IP de Hikvision permite a un atacante enviar un mensaje especialmente manipulado a los dispositivos afectados. Debido a la insuficiente validación de entrada, su explotación con éxito puede corromper la memoria y conducir a la ejecución arbitraria del código o cerrar el proceso de manera inesperada.
Vulnerabilidad en impresoras HP Inkjet (CVE-2018-5924)
Gravedad:
AltaAlta
Publication date: 13/08/2018
Last modified:
24/08/2020
Descripción:
Se ha identificado una vulnerabilidad de seguridad en algunas impresoras HP Inkjet. Un archivo manipulado maliciosamente enviado a un dispositivo afectado puede causar un desbordamiento de búfer de pila, lo que podría permitir la ejecución remota de código.
Vulnerabilidad en dispositivos CeLa Link (CVE-2018-15137)
Gravedad:
AltaAlta
Publication date: 07/08/2018
Last modified:
23/10/2018
Descripción:
Los dispositivos CeLa Link CLR-M20 permiten que usuarios no autorizados suban cualquier archivo (p. ej., asp, aspx, cfm, html, jhtml, jsp o shtml), que también provocan la ejecución remota de código. Debido a la característica WebDAV, es posible subir archivos arbitrarios mediante el método PUT.
Vulnerabilidad en el analizador XML de IntelliJ IDEA (CVE-2017-8316)
Gravedad:
AltaAlta
Publication date: 03/08/2018
Last modified:
23/10/2018
Descripción:
Se ha descubierto que el analizador XML de IntelliJ IDEA es vulnerable a un ataque de XEE (XML External Entity) por el que un atacante podría explotar la vulnerabilidad implementando código malicioso en ambos archivos Androidmanifest.xml.
Vulnerabilidad en JBoss Fuse (CVE-2014-0085)
Gravedad:
BajaBaja
Publication date: 17/04/2014
Last modified:
23/10/2018
Descripción:
JBoss Fuse no habilitaba contraseñas cifradas por defecto en su uso de Apache Zookeeper. Esto permitió la divulgación de información confidencial a través del registro de usuarios locales. Nota: esta descripción ha sido actualizada. El texto anterior identificaba erróneamente el origen del problema como Zookeeper. Texto anterior: Apache Zookeeper registra contraseñas de administrador en texto claro, lo que permite a los usuarios locales obtener información sensible leyendo el registro.
Vulnerabilidad en PDF-XChange Viewer (CVE-2010-5245)
Gravedad:
MediaMedia
Publication date: 07/09/2012
Last modified:
30/10/2018
Descripción:
Vulnerabilidad de búsqueda de ruta no confiable en PDF-XChange Viewer 2.0 Build 54.0, permite a usuarios locales obtener privilegio a través del troyano wintab32.dll en el directorio de trabajo actual, como se ha demostrado con un directorio que contenía un archivo .pdf. NOTA: algunos de estos detalles han sido obtenidos a partir de información de terceros.