Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Moxa EDR-810 (CVE-2018-16282)
Gravedad:
AltaAlta
Publication date: 20/09/2018
Last modified:
05/11/2018
Descripción:
Una vulnerabilidad de inyección de comandos en la funcionalidad del servidor web de Moxa EDR-810 V4.2 build 18041013 permite que atacantes remotos ejecuten comandos arbitrarios del sistema operativo con privilegios root mediante el parámetro caname en el URI /xml/net_WebCADELETEGetValue.
Vulnerabilidad en la función ProcessGpsInfo en jhead (CVE-2018-17088)
Gravedad:
MediaMedia
Publication date: 16/09/2018
Last modified:
31/12/2019
Descripción:
La función ProcessGpsInfo del archivo gpsinfo.c de jhead 3.00 podría permitir que un atacante remoto provoque un ataque de denegación de servicio (DoS) u otro tipo de impacto sin especificar mediante un archivo JPEG malicioso. Esto se debe a que hay un desbordamiento de enteros durante una comprobación de si una ubicación excede la longitud de datos de EXIF. Esto es análogo al desbordamiento de enteros en exif.c (CVE-2016-3822). Esta vulnerabilidad en gpsinfo.c no tiene relación con la vulnerabilidad en gpsinfo.c de CVE-2018-16554.
Vulnerabilidad en GPP (CVE-2018-17076)
Gravedad:
MediaMedia
Publication date: 16/09/2018
Last modified:
08/11/2018
Descripción:
GPP hasta la versión 2.25 intentará emplear más espacio de memoria del disponible en la pila, lo que conduce a un fallo de segmentación o, posiblemente, a otro tipo de impacto sin especificar mediante un archivo manipulado.
Vulnerabilidad en jhead (CVE-2018-16554)
Gravedad:
MediaMedia
Publication date: 16/09/2018
Last modified:
31/12/2019
Descripción:
La función ProcessGpsInfo del archivo gpsinfo.c de jhead 3.00 podría permitir que un atacante remoto provoque un ataque de denegación de servicio (DoS) u otro tipo de impacto sin especificar mediante un archivo JPEG malicioso. Esto se debe a la inconsistencia entre float y double en una cadena de formato sprintf durante el manejo de TAG_GPS_ALT.
Vulnerabilidad en IBM WebSphere Application Server (CVE-2018-1719)
Gravedad:
MediaMedia
Publication date: 14/09/2018
Last modified:
09/10/2019
Descripción:
IBM WebSphere Application Server 8.5 y 9.0 podría proporcionar seguridad más débil de lo esperado en ciertas condiciones. Esto podría resultar en la degradación del protocolo TLS. Un atacante remoto podría explotar esta vulnerabilidad para realizar ataques Man-in-the-Middle (MitM). IBM X-Force ID: 147292.
Vulnerabilidad en el motor de scripting ChakraCore (CVE-2018-8456)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
05/11/2018
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting ChakraCore gestiona los objetos en la memoria. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". Esto afecta a Microsoft Edge y ChakraCore. El ID de este CVE es diferente de CVE-2018-8354, CVE-2018-8391, CVE-2018-8457 y CVE-2018-8459.
Vulnerabilidad en Windows Hyper-V (CVE-2018-0965)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
05/11/2018
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando Windows Hyper-V, en un servidor host valida incorrectamente entradas de un usuario autenticado en un sistema operativo invitado. Esto también se conoce como "Windows Hyper-V Remote Code Execution Vulnerability". Esto afecta a Windows Server 2016, Windows 10 y Windows 10 Servers. El ID de este CVE es diferente de CVE-2018-8439.
Vulnerabilidad en Windows Subsystem for Linux (CVE-2018-8337)
Gravedad:
MediaMedia
Publication date: 12/09/2018
Last modified:
02/10/2019
Descripción:
Existe una vulnerabilidad de omisión de la característica de seguridad cuando Windows Subsystem for Linux gestiona incorrectamente la distinción de mayúsculas y minúsculas. Esto también se conoce como "Windows Subsystem for Linux Security Feature Bypass Vulnerability". Esto afecta a Windows 10 y Windows 10 Servers.
Vulnerabilidad en Microsoft Edge (CVE-2018-8354)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
05/11/2018
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". Esto afecta a Microsoft Edge y ChakraCore. El ID de este CVE es diferente de CVE-2018-8391, CVE-2018-8456, CVE-2018-8457 y CVE-2018-8459.
Vulnerabilidad en el motor de scripting de Chakra (CVE-2018-8367)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
05/11/2018
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting de Chakra gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Chakra Scripting Engine Memory Corruption Vulnerability". Esto afecta a Microsoft Edge y ChakraCore. El ID de este CVE es diferente de CVE-2018-8465, CVE-2018-8466 y CVE-2018-8467.
Vulnerabilidad en el motor de scripting ChakraCore (CVE-2018-8391)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
05/11/2018
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting ChakraCore gestiona los objetos en la memoria. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". Esto afecta a ChakraCore. El ID de este CVE es diferente de CVE-2018-8354, CVE-2018-8456, CVE-2018-8457 y CVE-2018-8459.
Vulnerabilidad en Microsoft .NET Framework (CVE-2018-8421)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
05/11/2018
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando Microsoft .NET Framework procesa entradas no fiables. Esto también se conoce como ".NET Framework Remote Code Execution Vulnerability". Esto afecta a Microsoft .NET Framework 4.6, Microsoft .NET Framework 3.5, Microsoft .NET Framework 4.7/4.7.1/4.7.2, Microsoft .NET Framework 3.0, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.1/4.7.2, Microsoft .NET Framework 4.7.1/4.7.2, Microsoft .NET Framework 4.7.2 y Microsoft .NET Framework 2.0.
Vulnerabilidad en el motor de scripting (CVE-2018-8457)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
05/11/2018
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting gestiona los objetos en la memoria en los navegadores de Microsoft. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". Esto afecta a Internet Explorer 11, Microsoft Edge e Internet Explorer 10. El ID de este CVE es diferente de CVE-2018-8354, CVE-2018-8391, CVE-2018-8456 y CVE-2018-8459.
Vulnerabilidad en el motor de scripting ChakraCore (CVE-2018-8459)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
05/11/2018
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting ChakraCore gestiona los objetos en la memoria. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". Esto afecta a Microsoft Edge y ChakraCore. El ID de este CVE es diferente de CVE-2018-8354, CVE-2018-8391, CVE-2018-8456 y CVE-2018-8457.
Vulnerabilidad en Internet Explorer (CVE-2018-8461)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
05/11/2018
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando Internet Explorer accede incorrectamente a los objetos en la memoria. Esto también se conoce como "Internet Explorer Memory Corruption Vulnerability". Esto afecta a Internet Explorer 11. El ID de este CVE es diferente de CVE-2018-8447.
Vulnerabilidad en el motor de scripting de Chakra (CVE-2018-8465)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
05/11/2018
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting de Chakra gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Chakra Scripting Engine Memory Corruption Vulnerability". Esto afecta a Microsoft Edge y ChakraCore. El ID de este CVE es diferente de CVE-2018-8367, CVE-2018-8466 y CVE-2018-8467.
Vulnerabilidad en el motor de scripting de Chakra (CVE-2018-8466)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
05/11/2018
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting de Chakra gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Chakra Scripting Engine Memory Corruption Vulnerability". Esto afecta a Microsoft Edge y ChakraCore. El ID de este CVE es diferente de CVE-2018-8367, CVE-2018-8465 y CVE-2018-8467.
Vulnerabilidad en el motor de scripting de Chakra (CVE-2018-8467)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
05/11/2018
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting de Chakra gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Chakra Scripting Engine Memory Corruption Vulnerability". Esto afecta a Microsoft Edge y ChakraCore. El ID de este CVE es diferente de CVE-2018-8367, CVE-2018-8465 y CVE-2018-8466.
Vulnerabilidad en dispositivos FURUNO FELCOM (CVE-2018-16705)
Gravedad:
MediaMedia
Publication date: 10/09/2018
Last modified:
02/10/2019
Descripción:
Los dispositivos FURUNO FELCOM 250 y 500 permiten el acceso no autenticado al archivo xml/permission.xml que contiene todos los nombres de usuario y contraseñas del sistema. Esto incluye las cuentas de usuario Admin y Service y sus hashes MD5 sin sal, así como la contraseña del servidor SMS en texto claro
Vulnerabilidad en dispositivos FURUNO FELCOM (CVE-2018-16591)
Gravedad:
AltaAlta
Publication date: 10/09/2018
Last modified:
02/10/2019
Descripción:
Los dispositivos FURUNO FELCOM 250 y 500 permiten que usuarios no autenticados cambien la contraseña para las cuentas Admin, Log y Service, así como la contraseña para el panel "SMS" protegido mediante /cgi-bin/sm_changepassword.cgi y /cgi-bin/sm_sms_changepasswd.cgi
Vulnerabilidad en Pulse Secure Desktop (CVE-2018-15865)
Gravedad:
MediaMedia
Publication date: 06/09/2018
Last modified:
11/05/2020
Descripción:
Pulse Secure Desktop (macOS) tiene una vulnerabilidad de escalada de privilegios.
Vulnerabilidad en BTITeam XBTIT (CVE-2018-15680)
Gravedad:
MediaMedia
Publication date: 05/09/2018
Last modified:
02/10/2019
Descripción:
Se ha descubierto un problema en BTITeam XBTIT 2.5.4. Las contraseñas hasheadas almacenadas en la tabla xbtit_users se almacenan como hashes MD5 sin sal, lo que facilita que los atacantes dependientes del contexto obtengan valores en texto claro mediante un ataque de fuerza bruta.
Vulnerabilidad en Jorani (CVE-2018-15918)
Gravedad:
MediaMedia
Publication date: 05/09/2018
Last modified:
05/11/2018
Descripción:
Se ha descubierto un problema en Jorani 0.6.5. Una inyección SQL (basada en errores) permite que un usuario de la aplicación que no tenga permisos lea y modifique información sensible de la base de datos empleada por la aplicación mediante los parámetros startdate o enddate en leaves/validate.
Vulnerabilidad en BTITeam XBTIT (CVE-2018-15684)
Gravedad:
MediaMedia
Publication date: 05/09/2018
Last modified:
05/11/2018
Descripción:
Se ha descubierto un problema en BTITeam XBTIT. Los registros de errores PHP se almacenan en un directorio abierto (/include/logs) que emplea nombres de archivo predecibles, lo que puede conducir a la revelación de la ruta completa y al filtrado de datos sensibles.
Vulnerabilidad en BTITeam XBTIT (CVE-2018-15681)
Gravedad:
MediaMedia
Publication date: 05/09/2018
Last modified:
02/10/2019
Descripción:
Se ha descubierto un problema en BTITeam XBTIT 2.5.4. Cuando un usuario inicia sesión, su hash de contraseña se "rehashea" utilizando una sal predecible y almacenada en la cookie "pass", que lo está marcada como HTTPOnly. Debido a la sal débil y predecible que está en uso, un atacante que logre robar la cookie podrá realizar un ataque de fuerza bruta sobre ella para recuperar la contraseña del usuario en texto claro.
Vulnerabilidad en BTITeam XBTIT (CVE-2018-15679)
Gravedad:
MediaMedia
Publication date: 05/09/2018
Last modified:
05/11/2018
Descripción:
Se ha descubierto un problema en BTITeam XBTIT 2.5.4. El parámetro "keywords" en la función de búsqueda disponible en /index.php?page=forumsaction=search es vulnerable a Cross-Site Scripting (XSS) reflejado.
Vulnerabilidad en BTITeam XBTIT (CVE-2018-15678)
Gravedad:
MediaMedia
Publication date: 05/09/2018
Last modified:
05/11/2018
Descripción:
Se ha descubierto un problema en BTITeam XBTIT 2.5.4. El parámetro "act" en la página de registro disponible en /index.php?page=signup es vulnerable a Cross-Site Scripting (XSS) reflejado.
Vulnerabilidad en Gxlcms (CVE-2018-16436)
Gravedad:
MediaMedia
Publication date: 05/09/2018
Last modified:
05/11/2018
Descripción:
Gxlcms 2.0 antes de la solución del bug 20180915 tiene una inyección SQL explotable por un administrador.
Vulnerabilidad en Gxlcms (CVE-2018-16437)
Gravedad:
MediaMedia
Publication date: 05/09/2018
Last modified:
05/11/2018
Descripción:
Gxlcms 2.0 antes de la solución del bug 20180915 tiene un salto de directorio explotable por un administrador.
Vulnerabilidad en Little CMS (CVE-2018-16435)
Gravedad:
MediaMedia
Publication date: 03/09/2018
Last modified:
05/11/2018
Descripción:
Little CMS (también conocido como Little Color Management System) 2.9 tiene un desbordamiento de enteros en la función AllocateDataSet en cmscgats.c que conduce a un desbordamiento de búfer basado en memoria dinámica (heap) en la función SetData mediante un archivo manipulado en el segundo argumento en cmsIT8LoadFromFile.
Vulnerabilidad en OpenSC (CVE-2018-16421)
Gravedad:
MediaMedia
Publication date: 03/09/2018
Last modified:
06/08/2019
Descripción:
Varios desbordamientos de búfer al manejar las respuestas de una CAC Card en cac_get_serial_nr_from_CUID en libopensc/card-cac.c en OpenSC en versiones anteriores a la 0.19.0-rc1 podrían ser empleados por atacantes para proporcionar smartcards manipuladas para provocar una denegación de servicio (cierre inesperado de la aplicación) o, posiblemente, otro tipo de impacto sin especificar.
Vulnerabilidad en OpenSC (CVE-2018-16420)
Gravedad:
MediaMedia
Publication date: 03/09/2018
Last modified:
06/08/2019
Descripción:
Varios desbordamientos de búfer al manejar las respuestas de una ePass 2003 Card en decrypt_response en libopensc/card-epass2003.c en OpenSC en versiones anteriores a la 0.19.0-rc1 podrían ser empleados por atacantes para proporcionar smartcards manipuladas para provocar una denegación de servicio (cierre inesperado de la aplicación) o, posiblemente, otro tipo de impacto sin especificar.
Vulnerabilidad en OpenSC (CVE-2018-16419)
Gravedad:
MediaMedia
Publication date: 03/09/2018
Last modified:
06/08/2019
Descripción:
Varios desbordamientos de búfer al manejar las respuestas de una tarjeta Cryptoflex en read_public_key en tools/cryptoflex-tool.c en OpenSC en versiones anteriores a la 0.19.0-rc1 podrían ser empleados por atacantes para proporcionar smartcards manipuladas para provocar una denegación de servicio (cierre inesperado de la aplicación) o, posiblemente, otro tipo de impacto sin especificar.
Vulnerabilidad en OpenSC (CVE-2018-16393)
Gravedad:
MediaMedia
Publication date: 03/09/2018
Last modified:
06/08/2019
Descripción:
Varios desbordamientos de búfer al manejar las respuestas de una Smartcard Gemsafe V1 en gemsafe_get_cert_len en libopensc/pkcs15-gemsafeV1.c en OpenSC en versiones anteriores a la 0.19.0-rc1 podrían ser empleados por atacantes para proporcionar smartcards manipuladas para provocar una denegación de servicio (cierre inesperado de la aplicación) o, posiblemente, otro tipo de impacto sin especificar.
Vulnerabilidad en OpenSC (CVE-2018-16392)
Gravedad:
MediaMedia
Publication date: 03/09/2018
Last modified:
06/08/2019
Descripción:
Varios desbordamientos de búfer al manejar las respuestas de una TCOS Card en tcos_select_file en libopensc/card-tcos.c en OpenSC en versiones anteriores a la 0.19.0-rc1 podrían ser empleados por atacantes para proporcionar smartcards manipuladas para provocar una denegación de servicio (cierre inesperado de la aplicación) o, posiblemente, otro tipo de impacto sin especificar.
Vulnerabilidad en OpenSC (CVE-2018-16391)
Gravedad:
MediaMedia
Publication date: 03/09/2018
Last modified:
06/08/2019
Descripción:
Varios desbordamientos de búfer al manejar las respuestas de una Muscle Card en muscle_list_files en libopensc/card-muscle.c en OpenSC en versiones anteriores a la 0.19.0-rc1 podrían ser empleados por atacantes para proporcionar smartcards manipuladas para provocar una denegación de servicio (cierre inesperado de la aplicación) o, posiblemente, otro tipo de impacto sin especificar.
Vulnerabilidad en CA Unified Infrastructure Management (CVE-2018-13821)
Gravedad:
AltaAlta
Publication date: 30/08/2018
Last modified:
05/11/2018
Descripción:
La falta de autenticación en CA Unified Infrastructure Management 8.5.1, 8.5 y 8.4.7 permite que los atacantes remotos lleven a cabo una serie de ataques, incluida la lectura/escritura de archivos.
Vulnerabilidad en CMS ISWEB (CVE-2018-15562)
Gravedad:
MediaMedia
Publication date: 29/08/2018
Last modified:
05/11/2018
Descripción:
CMS ISWEB 3.5.3 tiene Cross-Site Scripting (XSS) mediante los parámetros ordineRis, sezioneRicerca u oggettiRicerca en index.php.
Vulnerabilidad en ABB eSOMS (CVE-2018-14805)
Gravedad:
AltaAlta
Publication date: 29/08/2018
Last modified:
09/10/2019
Descripción:
ABB eSOMS 6.0.2 podría permitir el acceso no autorizado al sistema cuando LDAP está configurado para permitir la autenticación anónima y hay valores clave concretos en el archivo web.config de eSOMS. Se requieren ambas condiciones para explotar esta vulnerabilidad.
Vulnerabilidad en Adobe Creative Cloud Desktop Application (CVE-2018-12829)
Gravedad:
AltaAlta
Publication date: 29/08/2018
Last modified:
05/11/2018
Descripción:
Adobe Creative Cloud Desktop Application, en versiones anteriores a la 4.6.1, tiene una vulnerabilidad de validación incorrecta de certificados. Su explotación con éxito podría conducir al escalado de privilegios.
Vulnerabilidad en Joomla! (CVE-2018-15882)
Gravedad:
AltaAlta
Publication date: 29/08/2018
Last modified:
05/11/2018
Descripción:
Se ha descubierto un problema en Joomla! en versiones anteriores a la 3.8.12. Las comprobaciones inadecuadas en la clase InputFilter podrían permitir que archivos phar especialmente preparados pasen el filtro de subida.
Vulnerabilidad en el parámetro query en Infoblox NetMRI (CVE-2018-6643)
Gravedad:
MediaMedia
Publication date: 28/08/2018
Last modified:
05/11/2018
Descripción:
Infoblox NetMRI 7.1.1 tiene Cross-Site Scripting (XSS) reflejado mediante el parámetro query en /api/docs/index.php.
Vulnerabilidad en el plugin Export Users to CSV para WordPress (CVE-2018-15571)
Gravedad:
MediaMedia
Publication date: 28/08/2018
Last modified:
07/11/2018
Descripción:
El plugin Export Users to CSV hasta la versión 1.1.1 para WordPress permite la inyección CSV.
Vulnerabilidad en Mutiny "Monitoring Appliance" (CVE-2018-15529)
Gravedad:
MediaMedia
Publication date: 28/08/2018
Last modified:
02/10/2019
Descripción:
Una vulnerabilidad de inyección de comandos en maintenance.cgi en Mutiny "Monitoring Appliance" en versiones anteriores a la 6.1.0-5263 permite que usuarios autenticados con acceso a la interfaz de administrador inyecten comandos arbitrarios en el nombre de archivo de una subida de actualización de sistema.
Vulnerabilidad en openstack-cinder (CVE-2017-15139)
Gravedad:
MediaMedia
Publication date: 27/08/2018
Last modified:
09/10/2019
Descripción:
Se ha detectado una vulnerabilidad en las versiones de openstack-cinder hasta (e incluyendo) Queens, que permite que los volúmenes nuevos creados en ciertas configuraciones de volúmenes de almacenamiento contengan datos anteriores. Específicamente, esto afecta a los volúmenes ScaleIO que emplean volúmenes finos y un relleno de cero. Esto podría conducir al filtrado de información sensible entre inquilinos (tenants).
Vulnerabilidad en ASUS DSL-N12E_C1 (CVE-2018-15887)
Gravedad:
MediaMedia
Publication date: 27/08/2018
Last modified:
05/11/2018
Descripción:
Main_Analysis_Content.asp en ASUS DSL-N12E_C1 1.1.2.3_345 es propenso a una ejecución remota autenticada de comandos, lo que permite que un atacante remoto ejecute comandos arbitrarios del sistema operativo mediante parámetros del servicio, como metacaracteres shell en el parámetro destIP de una petición cmdMethod=ping.
Vulnerabilidad en Up.Time Monitoring Station (CVE-2015-9263)
Gravedad:
AltaAlta
Publication date: 27/08/2018
Last modified:
05/11/2018
Descripción:
Se ha descubierto un problema en post2file.php en Up.Time Monitoring Station 7.5.0 (build 16) y 7.4.0 (build 13). Permite que un atacante suba un archivo arbitrario, como un archivo .php, que pueda ejecutar comandos arbitrarios del sistema operativo.
Vulnerabilidad en la cámara Netwave IP (CVE-2018-11653)
Gravedad:
MediaMedia
Publication date: 24/08/2018
Last modified:
05/11/2018
Descripción:
Divulgación de información en la cámara Netwave IP en //etc/RT2870STA.dat (mediante HTTP en el puerto 8000) permite que un atacante no autenticado filtre información sensible sobre la configuración de red, como el SSID de red y la contraseña.
Vulnerabilidad en PLANEX CS-QR20 (CVE-2017-12577)
Gravedad:
AltaAlta
Publication date: 24/08/2018
Last modified:
05/11/2018
Descripción:
Se ha descubierto un problema en PLANEX CS-QR20 1.30. Se utiliza una cuenta/contraseña embebida ("admin:password") en la aplicación de Android que permite que los atacantes empleen una URL API "/goform/SystemCommand" para ejecutar cualquier comando con permisos root.
Vulnerabilidad en productos IntelliSpace Cardiovascular de Phillips (CVE-2018-14789)
Gravedad:
MediaMedia
Publication date: 22/08/2018
Last modified:
09/10/2019
Descripción:
En los productos IntelliSpace Cardiovascular (ISCV) de Phillips (ISCV en versiones 2.x o anteriores y Xcelera en versiones 4.1 y anteriores), se ha identificado una vulnerabilidad de elemento o ruta de búsqueda sin entrecomillar en la que un atacante podría ejecutar código arbitrario y escalar su nivel de privilegios.
Vulnerabilidad en productos IntelliSpace Cardiovascular de Phillips (CVE-2018-14787)
Gravedad:
MediaMedia
Publication date: 22/08/2018
Last modified:
09/10/2019
Descripción:
En los productos IntelliSpace Cardiovascular (ISCV) de Phillips (ISCV en versiones 2.x o anteriores y Xcelera en versiones 4.1 y anteriores), un atacante con privilegios escalados podría acceder a carpetas que contengan ejecutables en donde los usuarios autenticados tienen permisos de escritura, pudiendo entonces ejecutar código arbitrario con permisos de administrador local.
Vulnerabilidad en Ansible Tower (CVE-2017-7528)
Gravedad:
BajaBaja
Publication date: 22/08/2018
Last modified:
09/10/2019
Descripción:
Ansible Tower tal y como viene con Red Hat CloudForms Management Engine 5 es vulnerable a la inyección de CRLF. Se ha detectado que la cabecera X-Forwarded-For permite a los servidores internos desplegar otros sistemas (usando callback).
Vulnerabilidad en exif.c en Matthias Wandel jhead 2.87 (CVE-2016-3822)
Gravedad:
MediaMedia
Publication date: 05/08/2016
Last modified:
05/11/2018
Descripción:
" exif.c en Matthias Wandel jhead 2.87, como se usa en libjhead en Android 4.x en versiones anteriores a 4.4.4, 5.0.x en versiones anteriores a 5.0.2, 5.1.x en versiones anteriores a 5.1.1 y 6.x en versiones anteriores a 2016-08-01, permite a atacantes remotos ejecutar código arbitrario o provocar una denegación de servicio (acceso fuera de rango) a través de datos EXIF manipulados, también conocido como error interno 28868315."