Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Cisco Prime Service Catalog (CVE-2018-15451)
Gravedad:
BajaBaja
Publication date: 08/11/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de gestión web de Cisco Prime Service Catalog podría permitir que un atacante remoto autenticado lleve a cabo un ataque Cross-Site Scripting (XSS) contra un usuario de dicha interfaz. La vulnerabilidad se debe a la validación insuficiente de entradas de parte del usuario procesadas por la interfaz de gestión web. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace manipulado maliciosamente. Su explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o que pueda acceder a información sensible del navegador.
Vulnerabilidad en el navegador Whale (CVE-2018-12449)
Gravedad:
MediaMedia
Publication date: 11/10/2018
Last modified:
09/10/2019
Descripción:
El instalador del navegador Whale en versiones 0.4.3.0 y anteriores permite el secuestro de DLL.
Vulnerabilidad en productos Cisco (CVE-2018-15413)
Gravedad:
AltaAlta
Publication date: 05/10/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows podría permitir que un atacante ejecute código arbitrario en un sistema afectado. La vulnerabilidad existe debido a que el software afectado valida incorrectamente los archivos Advanced Recording Format (ARF) y Webex Recording Format (WRF). Un atacante podría explotar esta vulnerabilidad mediante el envío al usuario de un archivo ARF o WRF mediante un enlace o adjunto de email y persuadiéndolo para que abra el archivo utilizando el software afectado. Una explotación con éxito podría permitir que el atacante ejecute código arbitrario en el sistema afectado.
Vulnerabilidad en productos Cisco (CVE-2018-15412)
Gravedad:
AltaAlta
Publication date: 05/10/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows podría permitir que un atacante ejecute código arbitrario en un sistema afectado. La vulnerabilidad existe debido a que el software afectado valida incorrectamente los archivos Advanced Recording Format (ARF) y Webex Recording Format (WRF). Un atacante podría explotar esta vulnerabilidad mediante el envío al usuario de un archivo ARF o WRF mediante un enlace o adjunto de email y persuadiéndolo para que abra el archivo utilizando el software afectado. Una explotación con éxito podría permitir que el atacante ejecute código arbitrario en el sistema afectado.
Vulnerabilidad en productos Cisco (CVE-2018-15410)
Gravedad:
AltaAlta
Publication date: 05/10/2018
Last modified:
31/08/2020
Descripción:
Una vulnerabilidad en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows podría permitir que un atacante ejecute código arbitrario en un sistema afectado. La vulnerabilidad existe debido a que el software afectado valida incorrectamente los archivos Advanced Recording Format (ARF) y Webex Recording Format (WRF). Un atacante podría explotar esta vulnerabilidad mediante el envío al usuario de un archivo ARF o WRF mediante un enlace o adjunto de email y persuadiéndolo para que abra el archivo utilizando el software afectado. Una explotación con éxito podría permitir que el atacante ejecute código arbitrario en el sistema afectado.
Vulnerabilidad en productos Cisco (CVE-2018-15408)
Gravedad:
AltaAlta
Publication date: 05/10/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en Cisco Webex Network Recording Player para Microsoft Windows y Cisco Webex Player para Microsoft Windows podría permitir que un atacante ejecute código arbitrario en un sistema afectado. La vulnerabilidad existe debido a que el software afectado valida incorrectamente los archivos Advanced Recording Format (ARF) y Webex Recording Format (WRF). Un atacante podría explotar esta vulnerabilidad mediante el envío al usuario de un archivo ARF o WRF mediante un enlace o adjunto de email y persuadiéndolo para que abra el archivo utilizando el software afectado. Una explotación con éxito podría permitir que el atacante ejecute código arbitrario en el sistema afectado.
CVE-2018-15400
Gravedad:
MediaMedia
Publication date: 05/10/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de gestión web de Cisco Cloud Services Platform 2100 podría permitir que un atacante remoto no autenticado lleve a cabo un ataque Cross-Site Scripting (XSS) contra un usuario de dicha interfaz en un dispositivo afectado. La vulnerabilidad se debe a la validación insuficiente de entradas de parte del usuario en la interfaz de gestión web. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace malicioso. Su explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o que pueda acceder a información sensible del navegador.
Vulnerabilidad en productos Cisco (CVE-2018-0457)
Gravedad:
MediaMedia
Publication date: 05/10/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en los archivos de Cisco Webex Player for Webex Recording Format (WRF) podría permitir que un atacante remoto no autenticado provoque una condición de denegación de servicio (DoS). Un atacante podría explotar esta vulnerabilidad mediante el envío a un usuario de un enlace o adjunto de email con un archivo WRF malicioso y persuadiéndolo para que abra el archivo en Cisco Webex Player. Su explotación con éxito podría dar lugar a que el reproductor afectado se cierre inesperadamente, provocando una condición de denegación de servicio (DoS). Para más información sobre esta vulnerabilidad, consulte la sección de detalles de este aviso de seguridad.
Vulnerabilidad en productos Cisco (CVE-2018-0452)
Gravedad:
MediaMedia
Publication date: 05/10/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de gestión web de Cisco Tetration Analytics podría permitir que un atacante remoto no autenticado lleve a cabo un ataque de Cross-Site Scripting (XSS) contra un usuario de dicha interfaz en un dispositivo afectado. La vulnerabilidad se debe a la validación insuficiente de entradas de parte del usuario en la interfaz de gestión web. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace malicioso. Su explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o que pueda acceder a información sensible del navegador.
Vulnerabilidad en productos Cisco (CVE-2018-0450)
Gravedad:
MediaMedia
Publication date: 05/10/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de gestión web de Cisco Data Center Network Manager podría permitir que un atacante remoto no autenticado lleve a cabo un ataque de Cross-Site Scripting (XSS) contra un usuario de dicha interfaz en un dispositivo afectado. La vulnerabilidad se debe a la validación insuficiente de entradas de parte del usuario en la interfaz de gestión web. Un atacante podría explotar esta vulnerabilidad haciendo que un usuario de la interfaz haga clic en un enlace malicioso. Su explotación con éxito podría permitir al atacante ejecutar código script arbitrario en el contexto de la interfaz o que pueda acceder a información sensible del navegador.
Vulnerabilidad en productos Cisco (CVE-2018-0425)
Gravedad:
MediaMedia
Publication date: 05/10/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad en la interfaz de gestión web de los dispositivos Cisco RV110W Wireless-N VPN Firewall, Cisco RV130W Wireless-N Multifunction VPN Router y Cisco RV215W Wireless-N VPN Router podría permitir que un atacante remoto no autenticado obtenga información sensible. La vulnerabilidad se debe al control de acceso incorrecto a archivos en la interfaz de gestión web. Un atacante podría explotar esta vulnerabilidad mediante el envío de peticiones maliciosas a un dispositivo objetivo. Su explotación con éxito podría permitir que el atacante acceda a información de configuración sensible, incluidas las credenciales de autenticación del usuario.
Vulnerabilidad en IBM QRadar Incident Forensics (CVE-2018-1649)
Gravedad:
MediaMedia
Publication date: 05/10/2018
Last modified:
09/10/2019
Descripción:
IBM QRadar Incident Forensics 7.2 y 7.3 podría permitir que un atacante remoto salte directorios en el sistema. Un atacante podría enviar una petición URL especialmente manipulada que contenga secuencias "punto punto" (/../) para visualizar archivos arbitrarios en el sistema. IBM X-Force ID: 144655.
Vulnerabilidad en IBM QRadar Incident Forensics (CVE-2018-1647)
Gravedad:
MediaMedia
Publication date: 05/10/2018
Last modified:
09/10/2019
Descripción:
IBM QRadar Incident Forensics 7.2 y 7.3 no restringe correctamente el tamaño o la cantidad de recursos solicitados, lo que podría permitir que un usuario no autenticado provoque una denegación de servicio (DoS). IBM X-Force ID: 144650.
Vulnerabilidad en PHP Scripts Mall Market Place Script (CVE-2018-16455)
Gravedad:
MediaMedia
Publication date: 04/10/2018
Last modified:
18/02/2020
Descripción:
PHP Scripts Mall Market Place Script 1.0.1 permite Cross-Site Scripting (XSS) mediante una palabra clave.
Vulnerabilidad en PHP Scripts Mall Olx Clone (CVE-2018-16326)
Gravedad:
MediaMedia
Publication date: 04/10/2018
Last modified:
20/11/2018
Descripción:
PHP Scripts Mall Olx Clone 3.4.2 tiene Cross-Site Scripting (XSS).
Vulnerabilidad en CVE-2018-16453 (CVE-2018-16453)
Gravedad:
MediaMedia
Publication date: 04/10/2018
Last modified:
20/11/2018
Descripción:
PHP Scripts Mall Domain Lookup Script 3.0.5 permite Cross-Site Scripting (XSS) en la barra de búsqueda.
Vulnerabilidad en PHP Scripts Mall Website Seller Script (CVE-2018-16456)
Gravedad:
MediaMedia
Publication date: 04/10/2018
Last modified:
20/11/2018
Descripción:
PHP Scripts Mall Website Seller Script 2.0.5 tiene Cross-Site Scripting (XSS) mediante una palabra clave. NOTA: puede solaparse con CVE-2018-6870, que tiene Cross-Site Scripting (XSS) mediante la característica Listings Search.
Vulnerabilidad en Carestream Vue RIS (CVE-2018-17891)
Gravedad:
MediaMedia
Publication date: 04/10/2018
Last modified:
09/10/2019
Descripción:
En Carestream Vue RIS, RIS Client Builds en versiones 11.2 y anteriores que se ejecute en una máquina Windows 8.1 con IIS/7.5, al contactar con un servidor Carestream donde no hay un listener TNS de Oracle disponible, los usuarios activarán un error HTTP 500, filtrando información técnica que un atacante podría usar para iniciar un ataque más elaborado.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1603)
Gravedad:
BajaBaja
Publication date: 04/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM) desde la versión 5.0 hasta la 5.0.2 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 143793.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1602)
Gravedad:
BajaBaja
Publication date: 04/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM) desde la versión 5.0 hasta la 5.0.2 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 143792.
Vulnerabilidad en el motor JavaScript de Foxit PDF Reader (CVE-2018-3964)
Gravedad:
MediaMedia
Publication date: 03/10/2018
Last modified:
20/11/2018
Descripción:
Existe una vulnerabilidad explotable de uso de memoria previamente liberada en el motor JavaScript de Foxit PDF Reader, de Foxit Software, en su versión 9.1.0.5096. Un documento PDF especialmente manipulado puede hacer que se reutilice un objeto previamente liberado en la memoria, lo que resulta en la ejecución de código arbitrario. Un atacante necesita engañar a un usuario para que abra el archivo malicioso para desencadenar esta vulnerabilidad. Si la extensión del plugin del navegador está habilitada, visitar un sitio malicioso también puede desencadenar esta vulnerabilidad.
Vulnerabilidad en el motor JavaScript de Foxit PDF Reader (CVE-2018-3946)
Gravedad:
MediaMedia
Publication date: 03/10/2018
Last modified:
20/11/2018
Descripción:
Existe una vulnerabilidad explotable de uso de memoria previamente liberada en el motor JavaScript de Foxit PDF Reader, de Foxit Software, en su versión 9.1.0.5096. Un documento PDF especialmente manipulado puede hacer que se reutilice un objeto previamente liberado en la memoria, lo que resulta en la ejecución de código arbitrario. Un atacante necesita engañar a un usuario para que abra el archivo malicioso para desencadenar esta vulnerabilidad. Si la extensión del plugin del navegador está habilitada, visitar un sitio malicioso también puede desencadenar esta vulnerabilidad.
Vulnerabilidad en el motor JavaScript de Foxit PDF Reader (CVE-2018-3959)
Gravedad:
MediaMedia
Publication date: 02/10/2018
Last modified:
20/11/2018
Descripción:
Existe una vulnerabilidad de uso de memoria previamente liberada en el motor JavaScript de Foxit PDF Reader, de Foxit Software, en su versión 9.1.0.5096. Puede ocurrir una condición de uso de memoria previamente liberada al acceder a la propiedad Author del objeto this.info. Un atacante necesita engañar a un usuario para que abra el archivo malicioso para desencadenar esta vulnerabilidad. Si la extensión del plugin del navegador está habilitada, visitar un sitio malicioso también puede desencadenar esta vulnerabilidad.
Vulnerabilidad en copy_process en Android (CVE-2018-9513)
Gravedad:
AltaAlta
Publication date: 02/10/2018
Last modified:
20/11/2018
Descripción:
En copy_process en fork.c, hay una posible corrupción de memoria debido a una doble liberación (double free). Esto podría llevar a un escalado de privilegios local sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Kernel de Android. Android ID: A-111081202. Referencias: N/A.
Vulnerabilidad en ixheaacd_real_synth_fft_p3 en Android (CVE-2018-9496)
Gravedad:
AltaAlta
Publication date: 02/10/2018
Last modified:
20/11/2018
Descripción:
En ixheaacd_real_synth_fft_p3 de ixheaacd_esbr_fft.c, hay una posible escritura fuera de límites debido a la falta de una comprobación de límites. Esto podría llevar a la ejecución remota de código sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-9.0. Android ID: A-110769924
Vulnerabilidad en impeg2_fmt_conv_yuv420p_to_yuv420sp_uv_av8 en Android (CVE-2018-9497)
Gravedad:
AltaAlta
Publication date: 02/10/2018
Last modified:
20/11/2018
Descripción:
En impeg2_fmt_conv_yuv420p_to_yuv420sp_uv_av8 de impeg2_format_conv.s, hay una posible escritura fuera de límites debido a la falta de una comprobación de límites. Esto podría llevar a la ejecución remota de código sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-7.0, Android-7.1.1, Android-7.1.2, Android-8.0, Android-8.1 y Android-9.0. Android ID: A-74078669
Vulnerabilidad en SkSampler::Fill en Android (CVE-2018-9498)
Gravedad:
AltaAlta
Publication date: 02/10/2018
Last modified:
20/11/2018
Descripción:
En SkSampler::Fill de SkSampler.cpp, hay una posible escritura fuera de límites debido a un búfer no inicializado. Esto podría llevar a la ejecución remota de código sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-7.0, Android-7.1.1, Android-7.1.2, Android-8.0 y Android-8.1. Android ID: A-78354855
Vulnerabilidad en readVector en Android (CVE-2018-9499)
Gravedad:
MediaMedia
Publication date: 02/10/2018
Last modified:
24/08/2020
Descripción:
En readVector de iCrypto.cpp, hay una posible lectura no válida debido a datos no inicializados. Esto podría llevar a una divulgación de información local del servidor DRM sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-7.0, Android-7.1.1, Android-7.1.2, Android-8.0, Android-8.1 y Android-9.0. Android ID: A-79218474
Vulnerabilidad en SetupWizard en Android (CVE-2018-9501)
Gravedad:
AltaAlta
Publication date: 02/10/2018
Last modified:
24/08/2020
Descripción:
En SetupWizard, hay una posible omisión de Factory Reset Protection debido a una omisión de permisos. Esto podría llevar a un escalado de privilegios local sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-7.0, Android-7.1.1, Android-7.1.2, Android-8.0, Android-8.1 y Android-9.0. Android ID: A-110034419
Vulnerabilidad en rfc_process_mx_message en Android (CVE-2018-9502)
Gravedad:
MediaMedia
Publication date: 02/10/2018
Last modified:
20/11/2018
Descripción:
En rfc_process_mx_message de rfc_ts_frames.cc, hay una posible lectura fuera de límites debido a la falta de una comprobación de límites. Esto podría llevar a una divulgación de información remota en el servicio Bluetooth sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-7.0, Android-7.1.1, Android-7.1.2, Android-8.0, Android-8.1 y Android-9.0. Android ID: A-111936792
Vulnerabilidad en rfc_process_mx_message en Android (CVE-2018-9503)
Gravedad:
AltaAlta
Publication date: 02/10/2018
Last modified:
20/11/2018
Descripción:
En rfc_process_mx_message de rfc_ts_frames.cc, hay una posible lectura fuera de límites debido a la falta de una comprobación de límites. Esto podría llevar a una divulgación remota de información sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-7.0, Android-7.1.1, Android-7.1.2, Android-8.0, Android-8.1 y Android-9.0. Android ID: A-80432928
Vulnerabilidad en sdp_copy_raw_data en Android (CVE-2018-9504)
Gravedad:
AltaAlta
Publication date: 02/10/2018
Last modified:
20/11/2018
Descripción:
En sdp_copy_raw_data de sdp_discovery.cc, hay una posible escritura fuera de límites debido a una comprobación de límites incorrecta. Esto podría llevar a la ejecución remota de código por Bluetooth sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-7.0, Android-7.1.1, Android-7.1.2, Android-8.0, Android-8.1 y Android-9.0. Android ID: A-110216176
Vulnerabilidad en avrc_msg_cback en Android (CVE-2018-9506)
Gravedad:
MediaMedia
Publication date: 02/10/2018
Last modified:
20/11/2018
Descripción:
En avrc_msg_cback de avrc_api.cc, hay una posible lectura fuera de límites debido a la falta de una comprobación de límites. Esto podría llevar a una divulgación remota de información por Buetooth sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-7.0, Android-7.1.1, Android-7.1.2, Android-8.0, Android-8.1 y Android-9.0. Android ID: A-111803925
Vulnerabilidad en bta_av_proc_meta_cmd en Android (CVE-2018-9507)
Gravedad:
MediaMedia
Publication date: 02/10/2018
Last modified:
20/11/2018
Descripción:
En bta_av_proc_meta_cmd de bta_av_act.cc, hay una posible lectura fuera de límites debido a una comprobación de límites incorrecta. Esto podría llevar a una divulgación remota de información por Buetooth sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-7.0, Android-7.1.1, Android-7.1.2, Android-8.0, Android-8.1 y Android-9.0. Android ID: A-111893951
Vulnerabilidad en smp_process_keypress_notification en Android (CVE-2018-9508)
Gravedad:
MediaMedia
Publication date: 02/10/2018
Last modified:
20/11/2018
Descripción:
En smp_process_keypress_notification de smp_act.cc, hay una posible lectura fuera de límites debido a una comprobación de límites incorrecta. Esto podría llevar a una divulgación remota de información por Buetooth sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-7.0, Android-7.1.1, Android-7.1.2, Android-8.0 y Android-8.1. Android ID: A-111936834
Vulnerabilidad en smp_proc_master_id en Android (CVE-2018-9509)
Gravedad:
MediaMedia
Publication date: 02/10/2018
Last modified:
24/08/2020
Descripción:
En smp_proc_master_id de smp_act.cc, hay una posible lectura fuera de límites debido a la falta de una comprobación de límites. Esto podría llevar a una divulgación remota de información por Buetooth sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-7.0, Android-7.1.1, Android-7.1.2, Android-8.0, Android-8.1 y Android-9.0. Android ID: A-111937027
Vulnerabilidad en smp_proc_enc_info en Android (CVE-2018-9510)
Gravedad:
MediaMedia
Publication date: 02/10/2018
Last modified:
24/08/2020
Descripción:
En smp_proc_enc_info de smp_act.cc, hay una posible lectura fuera de límites debido a la falta de una comprobación de límites. Esto podría llevar a una divulgación remota de información por Bluetooth sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-7.0, Android-7.1.1, Android-7.1.2, Android-8.0, Android-8.1 y Android-9.0. Android ID: A-111937065
Vulnerabilidad en ipSecSetEncapSocketOwner en Android (CVE-2018-9511)
Gravedad:
MediaMedia
Publication date: 02/10/2018
Last modified:
02/10/2019
Descripción:
En ipSecSetEncapSocketOwner en XfrmController.cpp, hay un posible error a la hora de inicializar una característica de seguridad debido a datos no inicializados. Esto podría llevar a una denegación de servicio local de IPsec en sockets sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-9.0. Android ID: A-111650288
Vulnerabilidad en mca_ccb_hdl_req en Android (CVE-2018-9505)
Gravedad:
MediaMedia
Publication date: 02/10/2018
Last modified:
20/11/2018
Descripción:
En mca_ccb_hdl_req de mca_cact.cc, hay una posible lectura fuera de límites debido a la falta de una comprobación de límites. Esto podría llevar a una divulgación remota de información por Buetooth sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-7.0, Android-7.1.1, Android-7.1.2, Android-8.0, Android-8.1 y Android-9.0. Android ID: A-110791536
Vulnerabilidad en sdcardfs_create y sdcardfs_mkdir en Android (CVE-2018-9515)
Gravedad:
AltaAlta
Publication date: 02/10/2018
Last modified:
02/10/2019
Descripción:
En sdcardfs_create y sdcardfs_mkdir en inode.c, hay una posible corrupción de memoria debido a un bloqueo incorrecto. Esto podría llevar a un escalado de privilegios local sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Kernel de Android. Android ID: A-111641492. Referencias: N/A.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1405)
Gravedad:
BajaBaja
Publication date: 02/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM), de la versión 5.0 a la 5.02 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 138441.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1439)
Gravedad:
BajaBaja
Publication date: 02/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM), de la versión 5.0 a la 5.02 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 139589.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1440)
Gravedad:
BajaBaja
Publication date: 02/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM), de la versión 5.0 a la 5.02 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 139595.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1522)
Gravedad:
BajaBaja
Publication date: 02/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM), de la versión 5.0 a la 5.02 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 141803.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1557)
Gravedad:
BajaBaja
Publication date: 02/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM), de la versión 5.0 a la 5.02 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 142955.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1601)
Gravedad:
BajaBaja
Publication date: 02/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM), de la versión 5.0 a la 5.02 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 143791.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1605)
Gravedad:
BajaBaja
Publication date: 02/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM), de la versión 5.0 a la 5.02 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 143795.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1691)
Gravedad:
BajaBaja
Publication date: 02/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM), de la versión 5.0 a la 5.02 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 145582.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1692)
Gravedad:
BajaBaja
Publication date: 02/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM), de la versión 5.0 a la 5.02 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 145583.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1404)
Gravedad:
BajaBaja
Publication date: 02/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM), de la versión 5.0 a la 5.02 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 138440.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1403)
Gravedad:
BajaBaja
Publication date: 02/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM), de la versión 5.0 a la 5.02 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 138439.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2018-1395)
Gravedad:
BajaBaja
Publication date: 02/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM), de la versión 5.0 a la 5.02 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 138427.
Vulnerabilidad en IBM Rational Quality Manager (CVE-2017-1649)
Gravedad:
BajaBaja
Publication date: 02/10/2018
Last modified:
09/10/2019
Descripción:
IBM Rational Quality Manager (RQM), de la versión 5.0 a la 5.02 y desde la versión 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 133259.
Vulnerabilidad en dispositivos NAS (CVE-2018-9074)
Gravedad:
MediaMedia
Publication date: 28/09/2018
Last modified:
20/11/2018
Descripción:
Para algunos dispositivos NAS Iomega, Lenovo y LenovoEMC en versiones 4.1.402.34662 y anteriores, la funcionalidad de subida de archivos de la aplicación Content Explorer es vulnerable a salto de directorio. Como resultado, los usuarios pueden subir archivos en cualquier parte del sistema operativo del dispositivo como usuario root.
Vulnerabilidad en RSA Authentication Manager (CVE-2018-11075)
Gravedad:
BajaBaja
Publication date: 28/09/2018
Last modified:
27/03/2020
Descripción:
RSA Authentication Manager en versiones anteriores a la 8.3 P3 contiene una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en una página Security Console. Un usuario remoto no autenticado malicioso podría, conociendo el token anti-CSRF de un usuario objetivo, explotar esta vulnerabilidad engañando a un usuario de Security Console víctima para que proporcione código HTML o JavaScript malicioso a la aplicación web vulnerable, cuyo código es ejecutado por el navegador web en el contexto de la aplicación web vulnerable.
Vulnerabilidad en ThinkPHP (CVE-2018-17566)
Gravedad:
AltaAlta
Publication date: 26/09/2018
Last modified:
20/11/2018
Descripción:
En ThinkPHP 5.1.24, la función interna delete puede utilizarse para una inyección SQL cuando su valor de la condición WHERE puede ser controlado por la petición de un usuario.
Vulnerabilidad en SeaCMS (CVE-2018-17365)
Gravedad:
MediaMedia
Publication date: 26/09/2018
Last modified:
24/08/2020
Descripción:
SeaCMS 6.64 permite que los atacantes remotos eliminen archivos arbitrarios mediante el parámetro filedir.
Vulnerabilidad en WebUI en Google Chrome (CVE-2018-6054)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
20/11/2018
Descripción:
Uso de memoria previamente liberada en WebUI en Google Chrome en versiones anteriores a la 64.0.3282.119 permitía que un atacante remoto pudiese explotar una corrupción de memoria dinámica (heap) mediante una extensión de Chrome manipulada.
Vulnerabilidad en PDFium en Google Chrome (CVE-2018-6031)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
20/11/2018
Descripción:
Uso de memoria previamente liberada en PDFium en Google Chrome en versiones anteriores a la 64.0.3282.119 permitía que un atacante remoto pudiese explotar una corrupción de memoria dinámica (heap) mediante un archivo PDF manipulado.
Vulnerabilidad en Downloads en Google Chrome (CVE-2018-6033)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
20/11/2018
Descripción:
Validación de datos insuficiente en Downloads en Google Chrome en versiones anteriores a la 64.0.3282.119 permitía que un atacante remoto ejecutase código arbitrario fuera del sandbox mediante una extensión de Chrome manipulada.
Vulnerabilidad en WebGL en Google Chrome (CVE-2018-6047)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
20/11/2018
Descripción:
Aplicación de políticas insuficiente en WebGL en Google Chrome en versiones anteriores a la 64.0.3282.119 permitía que un atacante remoto filtrase URL de redirección del usuario mediante una página HTML manipulada.
Vulnerabilidad en Blink en Google Chrome (CVE-2018-6048)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
20/11/2018
Descripción:
Aplicación de políticas insuficiente en Blink en Google Chrome en versiones anteriores a la 64.0.3282.119 permitía que un atacante remoto filtrase información de referrer mediante una página HTML manipulada.
Vulnerabilidad en Google Chrome (CVE-2018-6049)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
02/10/2019
Descripción:
Interfaz de usuario de seguridad incorrecta en el mensaje de permisos en Google Chrome en versiones anteriores a la 64.0.3282.119 permitía que un atacante remoto suplantase el origen al que se le otorgan los permisos mediante una página HTML manipulada.
Vulnerabilidad en Omnibox en Google Chrome (CVE-2018-6050)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
20/11/2018
Descripción:
Implementación inapropiada en Omnibox en Google Chrome en versiones anteriores a la 64.0.3282.119 permitía que un atacante remoto suplantase el contenido de Omnibox (barra de direcciones) mediante una página HTML manipulada.
Vulnerabilidad en Blink en Google Chrome (CVE-2018-6052)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
20/11/2018
Descripción:
La falta de soporte para un valor de política no-referrer no estándar, no-referrer en Blink en Google Chrome en versiones anteriores a la 64.0.3282.119 permitía que un atacante remoto obtuviese detalles de referrer de una página web que pensaba que había rechazado el envío de datos de referrer.
Vulnerabilidad en New Tab Page en Google Chrome (CVE-2018-6053)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
20/11/2018
Descripción:
Implementación inapropiada en New Tab Page en Google Chrome en versiones anteriores a la 64.0.3282.119 permitía que un atacante local viese las imágenes en miniatura de un sitio web tras limpiar los datos del navegador mediante una página HTML manipulada.
Vulnerabilidad en Catalog Service en Google Chrome (CVE-2018-6055)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
20/11/2018
Descripción:
Aplicación de políticas insuficiente en Catalog Service en Google Chrome en versiones anteriores a la 64.0.3282.119 permitía que un atacante remoto ejecutase código arbitrario fuera del sandbox mediante una página HTML manipulada.
Vulnerabilidad en Omnibox en Google Chrome (CVE-2018-6119)
Gravedad:
MediaMedia
Publication date: 25/09/2018
Last modified:
20/11/2018
Descripción:
Interfaz de usuario de seguridad incorrecta en Omnibox en Google Chrome en versiones anteriores a la 64.0.3282.119 permitía que un atacante remoto suplantase el contenido de Omnibox (barra de direcciones) mediante una página HTML manipulada.
Vulnerabilidad en dispositivos Foscam (CVE-2017-2873)
Gravedad:
MediaMedia
Publication date: 19/09/2018
Last modified:
02/10/2019
Descripción:
Existe una vulnerabilidad de inyección de comandos en la interfaz de gestión web empleada por Foscam C1 Indoor HD Camera ejecutando el firmware de aplicación 2.52.2.43. Una petición HTTP especialmente manipulada puede permitir que un usuario inyecte caracteres shell durante la configuración de SoftAP, lo que resulta en una inyección de comandos. Un atacante puede simplemente enviar una petición HTTP al dispositivo para desencadenar esta vulnerabilidad.
Vulnerabilidad en dispositivos Foscam (CVE-2017-2876)
Gravedad:
MediaMedia
Publication date: 19/09/2018
Last modified:
20/11/2018
Descripción:
Existe una vulnerabilidad explotable de desbordamiento de búfer en la interfaz Multi-Camera utilizada por los dispositivos Foscam C1 Indoor HD Camera que ejecuten el firmware de aplicación 2.52.2.43. Una petición especialmente manipulada en el puerto 10000 puede provocar un desbordamiento de búfer, lo que provoca la sobrescritura de datos arbitrarios.
Vulnerabilidad en dispositivos Foscam (CVE-2017-2877)
Gravedad:
AltaAlta
Publication date: 19/09/2018
Last modified:
02/10/2019
Descripción:
Falta una comprobación de error en la interfaz Multi-Camera utilizada por los dispositivos Foscam C1 Indoor HD Camera que ejecuten el firmware de aplicación 2.52.2.43. Una petición especialmente manipulada en el puerto 10001 podría permitir que un atacante reinicie las cuentas de usuario a datos de fábrica sin autenticación.
Vulnerabilidad en dispositivos Foscam (CVE-2017-2879)
Gravedad:
MediaMedia
Publication date: 19/09/2018
Last modified:
20/11/2018
Descripción:
Existe una vulnerabilidad explotable de desbordamiento de búfer en la implementación UPnP utilizada por los dispositivos Foscam C1 Indoor HD Camera que ejecuten el firmware de aplicación 2.52.2.43. Una respuesta de descubrimiento UPnP especialmente manipulada puede provocar un desbordamiento de búfer, lo que provoca la sobrescritura de datos arbitrarios. Un atacante necesita estar en la misma subred y responder al mensaje de descubrimiento para desencadenar esta vulnerabilidad.
Vulnerabilidad en dispositivos Foscam (CVE-2017-2875)
Gravedad:
MediaMedia
Publication date: 19/09/2018
Last modified:
20/11/2018
Descripción:
Existe una vulnerabilidad explotable de desbordamiento de búfer en la interfaz Multi-Camera utilizada por los dispositivos Foscam C1 Indoor HD Camera que ejecuten el firmware de aplicación 2.52.2.43. Una petición especialmente manipulada en el puerto 10000 puede provocar un desbordamiento de búfer, lo que provoca la sobrescritura de datos arbitrarios.
Vulnerabilidad en dispositivos Foscam (CVE-2017-2878)
Gravedad:
MediaMedia
Publication date: 19/09/2018
Last modified:
20/11/2018
Descripción:
Existe una vulnerabilidad explotable de desbordamiento de búfer en la interfaz de gestión web empleada por Foscam C1 Indoor HD Camera ejecutando el firmware de aplicación 2.52.2.43. Una petición HTTP especialmente manipulada puede provocar un desbordamiento de búfer, lo que provoca la sobrescritura de datos arbitrarios. Un atacante puede simplemente enviar una petición HTTP al dispositivo para desencadenar esta vulnerabilidad.
Vulnerabilidad en McAfee Application and Change Control (CVE-2018-6690)
Gravedad:
BajaBaja
Publication date: 18/09/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad de acceso, modificación o ejecución de archivos ejecutables en el cliente Microsoft Windows en McAfee Application and Change Control (MACC) 8.0.0 Hotfix 4 y anteriores permite que usuarios autenticados ejecuten código arbitrario mediante la transferencia de archivos del sistema externo.
Vulnerabilidad en Microsoft ADFS Windows Server (CVE-2018-16794)
Gravedad:
MediaMedia
Publication date: 18/09/2018
Last modified:
20/11/2018
Descripción:
Microsoft ADFS 4.0 Windows Server 2016 y anteriores (Active Directory Federation Services) tiene una vulnerabilidad Server-Side Request Forgery (SSRF) mediante el parámetro txtBoxEmail en /adfs/ls.
Vulnerabilidad en Foscam C1 Indoor HD Camera (CVE-2017-2874)
Gravedad:
MediaMedia
Publication date: 17/09/2018
Last modified:
20/11/2018
Descripción:
Existe una vulnerabilidad de divulgación de información en la interfaz Multi-Camera empleada por Foscam C1 Indoor HD Camera ejecutando el firmware de aplicación 2.52.2.43. Una petición especialmente manipulada en el puerto 10001 puede permitir que un usuario recupere información sensible sin autenticación.
Vulnerabilidad en Microweber (CVE-2018-17104)
Gravedad:
MediaMedia
Publication date: 16/09/2018
Last modified:
20/11/2018
Descripción:
Se ha descubierto un problema en Microweber 1.0.7. Hay un ataque Cross-Site Request Forgery (CSRF) (contra el usuario administrador) que puede añadir una cuenta de administrador mediante api save_user.
Vulnerabilidad en Go (CVE-2018-17075)
Gravedad:
MediaMedia
Publication date: 16/09/2018
Last modified:
24/08/2020
Descripción:
El paquete html (también conocido como x net html) en versiones anteriores al 2018-07-13 en Go gestiona de manera incorrecta el modo de inserción "in frameset", lo que conduce a un "panic: runtime error" para html.Parse de template object , template applet o template marquee . Esto está relacionado con HTMLTreeBuilder.cpp en WebKit.
Vulnerabilidad en el motor de base de datos de Microsoft JET (CVE-2018-8393)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de desbordamiento de búfer en el motor de base de datos de Microsoft JET que podría permitir la ejecución remota de código en un sistema afectado. Esto también se conoce como "Microsoft JET Database Engine Remote Code Execution Vulnerability". Esto afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 y Windows 10 Servers. El ID de este CVE es diferente de CVE-2018-8392.
Vulnerabilidad en la API Fetch de Microsoft Edge (CVE-2018-8366)
Gravedad:
BajaBaja
Publication date: 12/09/2018
Last modified:
20/11/2018
Descripción:
Existe una vulnerabilidad de divulgación de información cuando la API Fetch de Microsoft Edge no gestiona correctamente un tipo de respuesta filtrada. Esto también se conoce como "Microsoft Edge Information Disclosure Vulnerability". Esto afecta a Microsoft Edge.
Vulnerabilidad en el motor de base de datos de Microsoft JET (CVE-2018-8392)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de desbordamiento de búfer en el motor de base de datos de Microsoft JET que podría permitir la ejecución remota de código en un sistema afectado. Esto también se conoce como "Microsoft JET Database Engine Remote Code Execution Vulnerability". Esto afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 y Windows 10 Servers. El ID de este CVE es diferente de CVE-2018-8393.
Vulnerabilidad en Microsoft Edge (CVE-2018-8425)
Gravedad:
MediaMedia
Publication date: 12/09/2018
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de suplantación cuando Microsoft Edge gestiona incorrectamente contenido HTML específico. Esto también se conoce como "Microsoft Edge Spoofing Vulnerability". Esto afecta a Microsoft Edge.
Vulnerabilidad en el componente Windows Graphics (CVE-2018-8433)
Gravedad:
BajaBaja
Publication date: 12/09/2018
Last modified:
20/11/2018
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el componente Windows Graphics gestiona incorrectamente los objetos en la memoria. Esto también se conoce como "Microsoft Graphics Component Information Disclosure Vulnerability". Esto afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 y Windows 10 Servers.
Vulnerabilidad en el servidor SMBv2 (CVE-2018-8444)
Gravedad:
MediaMedia
Publication date: 12/09/2018
Last modified:
20/11/2018
Descripción:
Existe una vulnerabilidad de divulgación de información en la forma en la que el servidor SMBv2 (Microsoft Server Message Block 2.0) gestiona determinadas peticiones. Esto también se conoce como "Windows SMB Information Disclosure Vulnerability". Esto afecta a Windows Server 2012, Windows 10, Windows 8.1, Windows RT 8.1 y Windows Server 2012 R2.
Vulnerabilidad en Device Guard (CVE-2018-8449)
Gravedad:
BajaBaja
Publication date: 12/09/2018
Last modified:
02/10/2019
Descripción:
Existe una omisión de la característica de seguridad cuando Device Guard valida incorrectamente un archivo no fiable. Esto también se conoce como "Device Guard Security Feature Bypass Vulnerability". Esto afecta a Windows Server 2016, Windows 10 y Windows 10 Servers.
Vulnerabilidad en el lector de PDF de Microsoft Edge (CVE-2018-8464)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
24/02/2020
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando el lector de PDF de Microsoft Edge no gestiona correctamente objetos en la memoria. Esto también se conoce como "Microsoft Edge PDF Remote Code Execution Vulnerability". Esto afecta a Microsoft Edge.
Vulnerabilidad en RDP Level 1 en productos STMicroelectronics (CVE-2017-18347)
Gravedad:
MediaMedia
Publication date: 12/09/2018
Last modified:
20/11/2018
Descripción:
Control de acceso incorrecto en RDP Level 1 en productos STMicroelectronics, serie STM32F0, permite que atacantes físicamente presentes extraigan el firmware protegido del dispositivo mediante una secuencia especial de comandos SWD (Serial Wire Debug) debido a que hay una condición de carrera entre la inicialización completa de la interfaz SWD y la instalación de la protección flash.
Vulnerabilidad en SIEMENS TD Keypad Designer (CVE-2018-13806)
Gravedad:
AltaAlta
Publication date: 12/09/2018
Last modified:
09/10/2019
Descripción:
Se ha identificado una vulnerabilidad en SIEMENS TD Keypad Designer (todas las versiones). Existe una vulnerabilidad de secuestro de DLL en todas las versiones de SIEMENS TD Keypad Designer, lo que podría permitir que un atacante ejecute código con los permisos del usuario que ejecuta TD Designer. El atacante debe tener acceso de escritura al directorio que contiene el archivo de proyecto TD para explotar esta vulnerabilidad. Un usuario legítimo con privilegios más altos que los del atacante debe abrir el proyecto TD para que esta vulnerabilidad pueda ser explotada. En el momento de la publicación del advisory, no se conoce ninguna explotación pública de la vulnerabilidad de seguridad.
Vulnerabilidad en Inteno DG400 (CVE-2018-16950)
Gravedad:
BajaBaja
Publication date: 12/09/2018
Last modified:
24/08/2020
Descripción:
Los dispositivos Inteno DG400 WU7U_ELION3.11.6-170614_1328 permiten que atacantes remotos provoquen una denegación de servicio (pérdida de conectividad) mediante una serie de paquetes con direcciones MAC aleatorias, tal y como queda demostrado con macof.
Vulnerabilidad en SAP HANA (CVE-2018-2465)
Gravedad:
MediaMedia
Publication date: 11/09/2018
Last modified:
20/11/2018
Descripción:
El analizador OData modelo clásico de SAP HANA (versiones 1.0 y 2.0) Extended Application Services no valida suficientemente los XML. Mediante su explotación, un hacker no autorizado podría provocar el cierre inesperado del servidor de la base de datos.
Vulnerabilidad en SAP Mobile Platform Offline OData (CVE-2018-2459)
Gravedad:
MediaMedia
Publication date: 11/09/2018
Last modified:
02/10/2019
Descripción:
Los usuarios de la aplicación SAP Mobile Platform (versión 3.0) Offline OData, que emplea tokens delta proporcionados por Offline OData (habilitado por defecto), reciben ocasionalmente algunos valores de datos de un usuario diferente.
Vulnerabilidad en productos EC-CUBE (CVE-2018-0658)
Gravedad:
MediaMedia
Publication date: 07/09/2018
Last modified:
20/11/2018
Descripción:
Problema de validación de entradas en EC-CUBE Payment Module (2.12) en versiones 3.5.23 y anteriores, EC-CUBE Payment Module (2.11) en versiones 2.3.17 y anteriores, GMO-PG Payment Module (PG Multi-Payment Service) (2.12) en versiones 3.5.23 y anteriores y GMO-PG Payment Module (PG Multi-Payment Service) (2.11) en versiones 2.3.17 y anteriores permite que un atacante con permisos de administrador ejecute código PHP arbitrario en el servidor mediante vectores sin especificar.
Vulnerabilidad en productos EC-CUBE (CVE-2018-0657)
Gravedad:
BajaBaja
Publication date: 07/09/2018
Last modified:
20/11/2018
Descripción:
Vulnerabilidad Cross-Site Scripting (XSS) en EC-CUBE Payment Module y GMO-PG Payment Module (PG Multi-Payment Service) para EC-CUBE (EC-CUBE Payment Module (2.12) en versiones 3.5.23 y anteriores, EC-CUBE Payment Module (2.11) en versiones 2.3.17 y anteriores, GMO-PG Payment Module (PG Multi-Payment Service) (2.12) en versiones 3.5.23 y anteriores y GMO-PG Payment Module (PG Multi-Payment Service) (2.11) en versiones 2.3.17 y anteriores) permite que un atacante con permisos de administrador inyecte scripts web o HTML arbitrarios mediante vectores sin especificar.
Vulnerabilidad en Google Chrome (CVE-2017-15407)
Gravedad:
MediaMedia
Publication date: 28/08/2018
Last modified:
20/11/2018
Descripción:
Una escritura fuera de límites en la pila de networking QUIC en Google Chrome en versiones anteriores a la 63.0.3239.84 permitía que un atacante remoto pudiese ejecutar código mediante un servidor malicioso.
Vulnerabilidad en Microsoft Exchange Outlook Web Access en productos Microsoft (CVE-2018-0940)
Gravedad:
MediaMedia
Publication date: 14/03/2018
Last modified:
24/08/2020
Descripción:
Microsoft Exchange Outlook Web Access (OWA) en Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 20, Microsoft Exchange Server 2013 Cumulative Update 18, Microsoft Exchange Server 2013 Cumulative Update 19, Microsoft Exchange Server 2013 Service Pack 1, Microsoft Exchange Server 2016 Cumulative Update 7 y Microsoft Exchange Server 2016 Cumulative Update 8 permite una vulnerabilidad de elevación de privilegios debido a la forma en la que se reescriben los enlaces en el cuerpo de un mensaje de email. Esto también se conoce como "Microsoft Exchange Elevation of Privilege Vulnerability".
Vulnerabilidad en productos Microsoft (CVE-2018-0924)
Gravedad:
MediaMedia
Publication date: 14/03/2018
Last modified:
24/08/2020
Descripción:
Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 20, Microsoft Exchange Server 2013 Cumulative Update 18, Microsoft Exchange Server 2013 Cumulative Update 19, Microsoft Exchange Server 2013 Service Pack 1, Microsoft Exchange Server 2016 Cumulative Update 7 y Microsoft Exchange Server 2016 Cumulative Update 8 permiten una vulnerabilidad de divulgación de información debido a la forma en la que se gestionan las redirecciones de URL. Esto también se conoce como "Microsoft Exchange Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2018-0941.
Vulnerabilidad en Microsoft System Center (CVE-2015-2420)
Gravedad:
MediaMedia
Publication date: 14/08/2015
Last modified:
20/11/2018
Descripción:
Vulnerabilidad de XSS en Microsoft System Center 2012 Operations Manager Gold en versiones anteriores a Rollup 8, SP1 en versiones anteriores a Rollup 10 y R2 en versiones anteriores a Rollup 7, permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de una URL manipulada, también conocido como 'System Center Operations Manager Web Console XSS Vulnerability.'
Vulnerabilidad en Microsoft System Center Virtual Machine Manager (CVE-2015-0012)
Gravedad:
MediaMedia
Publication date: 11/02/2015
Last modified:
20/11/2018
Descripción:
Microsoft System Center Virtual Machine Manager (VMM) 2012 R2 Update Rollup 4 no valida correctamente los roles de los usuarios, lo que permite a usuarios locales obtener privilegios administrativos de servidor y de máquina virtual mediante la establecimiento de una sesión de servidor con las credenciales Active Directory, también conocido como 'vulnerabilidad de la elevación de privilegios de gestor de la máquina virtual.'