Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en IBM WebSphere Application Server (CVE-2018-1767)
Gravedad:
MediaMedia
Publication date: 29/10/2018
Last modified:
09/10/2019
Descripción:
IBM WebSphere Application Server 7.0, 8.0, 8.5 y 9.0 Cachemonitor es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 148621.
Vulnerabilidad en IBM WebSphere Application Server (CVE-2018-1777)
Gravedad:
BajaBaja
Publication date: 16/10/2018
Last modified:
09/10/2019
Descripción:
IBM WebSphere Application Server 7.0, 8.0, 8.5 y 9.0 es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 148800.
Vulnerabilidad en IBM WebSphere Application Server (CVE-2018-1793)
Gravedad:
MediaMedia
Publication date: 03/10/2018
Last modified:
09/10/2019
Descripción:
IBM WebSphere Application Server 7.0, 8.0, 8.5 y 9.0, utilizando SAML, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 148948.
Vulnerabilidad en IBM WebSphere Application Server (CVE-2018-1794)
Gravedad:
MediaMedia
Publication date: 03/10/2018
Last modified:
09/10/2019
Descripción:
IBM WebSphere Application Server 7.0, 8.0, 8.5 y 9.0, utilizando OAuth, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 148949.
Vulnerabilidad en Rausoft ID.prove (CVE-2018-16659)
Gravedad:
AltaAlta
Publication date: 27/09/2018
Last modified:
05/11/2019
Descripción:
Se ha descubierto un problema en Rausoft ID.prove 2.95. La página de inicio de sesión permite la inyección SQL mediante consultas en pila de Microsoft SQL Server en el parámetro POST Username. Hipotéticamente, un atacante puede utilizar master..xp_cmdshell para elevar aún más sus privilegios.
Vulnerabilidad en Rollup 18 en Microsoft Exchange Server (CVE-2018-16793)
Gravedad:
MediaMedia
Publication date: 21/09/2018
Last modified:
20/11/2018
Descripción:
Rollup 18 para Microsoft Exchange Server 2010 SP3 y versiones anteriores tiene una vulnerabilidad Server-Side Request Forgery (SSRF) mediante el parámetro username en /owa/auth/logon.aspx la página de inicio de sesión de OWA (Outlook Web Access).
Vulnerabilidad en Apache Tika (CVE-2018-11761)
Gravedad:
MediaMedia
Publication date: 19/09/2018
Last modified:
12/11/2019
Descripción:
En Apache Tika desde la versión 0.1 hasta la 1.18, los analizadores XML no estaban configurados para limitar la expansión de las entidades. Por lo tanto, eran vulnerables a una expansión de entidades, lo que podría conducir a un ataque de denegación de servicio (DoS).
Vulnerabilidad en Apache Tika (CVE-2018-11762)
Gravedad:
MediaMedia
Publication date: 19/09/2018
Last modified:
20/11/2018
Descripción:
En Apache Tika desde la versión 0.9 hasta la 1.18, en el caso extremo de que un usuario no especifique un directorio de extracción en la línea de comandos (--extract-dir=) y el archivo entrante tenga un archivo incrustado con una ruta absoluta como "C:/evil.bat", tika-app podría sobrescribir ese archivo.
Vulnerabilidad en Lync for Mac 2011 (CVE-2018-8474)
Gravedad:
MediaMedia
Publication date: 12/09/2018
Last modified:
28/02/2019
Descripción:
Existe una vulnerabilidad de omisión de la característica de seguridad cuando Lync for Mac 2011 no sanea correctamente mensajes especialmente manipulados. Esto también se conoce como "Lync for Mac 2011 Security Feature Bypass Vulnerability". Esto afecta a Microsoft Lync.
Vulnerabilidad en AttacheCase (CVE-2018-0674)
Gravedad:
MediaMedia
Publication date: 04/09/2018
Last modified:
20/11/2018
Descripción:
AttacheCase, en versiones 2.8.4.0 y anteriores, permite la ejecución de scripts arbitrarios mediante vectores sin especificar.
Vulnerabilidad en AttacheCase (CVE-2018-0675)
Gravedad:
MediaMedia
Publication date: 04/09/2018
Last modified:
20/11/2018
Descripción:
AttacheCase, en versiones 3.3.0.0 y anteriores, permite la ejecución de scripts arbitrarios mediante vectores sin especificar.
Vulnerabilidad en MikroTik RouterOS (CVE-2018-14847)
Gravedad:
MediaMedia
Publication date: 02/08/2018
Last modified:
07/03/2019
Descripción:
MikroTik RouterOS hasta la versión 6.42 permite que atacante remoto no autenticado lean archivos arbitrarios y que los atacantes autenticados remotos escriban en archivos arbitrarios debido a una vulnerabilidad de salto de directorio en la interfaz WinBox.
Vulnerabilidad en libcurl (CVE-2018-1000007)
Gravedad:
MediaMedia
Publication date: 24/01/2018
Last modified:
18/06/2019
Descripción:
libcurl, desde la versión 7.1 hasta la 7.57.0, podría filtrar accidentalmente datos de autenticación a terceros. Cuando se le solicita que envíe cabeceras personalizadas en sus peticiones HTTP, libcurl enviará primero ese conjunto de cabeceras al host en la URL inicial pero también, si se le pide que siga redirecciones y se devuelve un código de respuesta HTTP 30X al host mencionado en la URL en el valor de la cabecera de respuesta "Location:". El envío de la misma serie de cabeceras a hosts subsecuentes es un problema en particular para las aplicaciones que pasan cabeceras "Authorization:" personalizadas, ya que esta cabecera suele contener información sensible de privacidad o datos que podrían permitir que otros suplanten la petición del cliente que emplea libcurl.