Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en REDAXO (CVE-2018-18199)
Gravedad:
MediaMedia
Publication date: 09/10/2018
Last modified:
21/11/2018
Descripción:
Mediamanager en REDAXO en versiones anteriores a la 5.6.4 tiene Cross-Site Scripting (XSS).
Vulnerabilidad en Benutzerverwaltung en REDAXO (CVE-2018-18200)
Gravedad:
AltaAlta
Publication date: 09/10/2018
Last modified:
21/11/2018
Descripción:
Hay una inyección SQL en Benutzerverwaltung en REDAXO en versiones anteriores a la 5.6.4.
Vulnerabilidad en DuomiCMS (CVE-2018-18084)
Gravedad:
AltaAlta
Publication date: 09/10/2018
Last modified:
21/11/2018
Descripción:
Se ha descubierto un problema en DuomiCMS 3.0. Existe una inyección SQL en el archivo ajax.php, tal y como queda demostrado con el parámetro uid.
Vulnerabilidad en WikidForum (CVE-2018-18075)
Gravedad:
AltaAlta
Publication date: 09/10/2018
Last modified:
21/11/2018
Descripción:
WikidForum 2.20 tiene una inyección SQL mediante los parámetros parent_post_id o num_records en rpc.php, o el parámetro select_sort en index.php?action=search.
Vulnerabilidad en SUSE Linux SMT (CVE-2018-12470)
Gravedad:
AltaAlta
Publication date: 04/10/2018
Last modified:
09/10/2019
Descripción:
Una inyección SQL en el módulo RegistrationSharing de SUSE Linux SMT permite a los atacantes remotos ejecutar declaraciones SQL arbitrarias. Las versiones afectadas son SUSE Linux SMT: versiones anteriores a la 3.0.37.
Vulnerabilidad en IBM Financial Transaction Manager for Digital Payments for Multi-Platform (CVE-2018-1819)
Gravedad:
MediaMedia
Publication date: 04/10/2018
Last modified:
09/10/2019
Descripción:
IBM Financial Transaction Manager for Digital Payments for Multi-Platform 3.0.2, 3.0.4, 3.0.6 y 3.2.0 es vulnerable a inyección SQL. Un atacante remoto podría enviar instrucciones SQL especialmente manipuladas que podrían permitir que el atacante viese, añadiese, modificase o borrase información en la base de datos del backend. IBM X-Force ID: 150023.
Vulnerabilidad en OPAC EasyWeb Five (CVE-2018-17428)
Gravedad:
AltaAlta
Publication date: 03/10/2018
Last modified:
21/11/2018
Descripción:
Se ha descubierto un problema en OPAC EasyWeb Five 5.7. Hay una inyección SQL mediante el parámetro biblio en w2001/index.php?scelta=campi.
Vulnerabilidad en Android (CVE-2018-9493)
Gravedad:
BajaBaja
Publication date: 02/10/2018
Last modified:
21/11/2018
Descripción:
En el proveedor de contenidos del gestor de descargas, hay una posible inyección SQL debido a una validación de entradas incorrecta. Esto podría llevar a una divulgación de información local sin necesitar privilegios de ejecución adicionales. No se necesita interacción del usuario para explotarlo. Producto: Versiones de Android: Android-7.0, Android-7.1.1, Android-7.1.2, Android-8.0, Android-8.1 y Android-9.0. Android ID: A-111085900
Vulnerabilidad en REDAXO (CVE-2018-17831)
Gravedad:
AltaAlta
Publication date: 01/10/2018
Last modified:
21/11/2018
Descripción:
En REDAXO en versiones anteriores a la 5.6.3, se ha descubierto una vulnerabilidad crítica de inyección SQL en la clase rex_list debido a la función prepareQuery en core/lib/list.php, mediante el parámetro sort en index.php?page=users/users. Solo hay peligro en el backend y el frontend si se emplea rex_list.
Vulnerabilidad en WUZHI CMS (CVE-2018-17852)
Gravedad:
AltaAlta
Publication date: 01/10/2018
Last modified:
21/11/2018
Descripción:
Se ha descubierto una inyección SQL en WUZHI CMS 4.1.0 en coreframe/app/coupon/admin/card.php mediante el parámetro groupname en el URI /index.php?m=couponf=cardv=detail_listing.
Vulnerabilidad en MRCMS (CVE-2018-17796)
Gravedad:
AltaAlta
Publication date: 30/09/2018
Last modified:
21/11/2018
Descripción:
Se ha descubierto un problema en MRCMS (también conocido como mushroom) hasta su versión 3.1.2. El archivo WebParam.java acepta directamente el parámetro FIELD_T en una petición y lo emplea como hash de instrucciones SQL sin filtrado, lo que resulta en una vulnerabilidad de inyección SQL en getChannel() en el archivo ChannelService.java.
Vulnerabilidad en SWA SWA.JACAD (CVE-2018-17575)
Gravedad:
AltaAlta
Publication date: 28/09/2018
Last modified:
21/11/2018
Descripción:
SWA SWA.JACAD 3.1.37 Build 024 tiene una inyección SQL mediante el parámetro studentIdn en /academico/aluno/esqueci-minha-senha/.
Vulnerabilidad en CMS ISWEB (CVE-2018-14956)
Gravedad:
AltaAlta
Publication date: 27/09/2018
Last modified:
21/11/2018
Descripción:
CMS ISWEB 3.5.3 es vulnerable a múltiples errores de inyección SQL. Un atacante puede inyectar consultas maliciosas en la aplicación y obtener información sensible.
Vulnerabilidad en HPE Device Entitlement Gateway (CVE-2018-7107)
Gravedad:
MediaMedia
Publication date: 27/09/2018
Last modified:
21/11/2018
Descripción:
Se ha identificado una potencial vulnerabilidad de seguridad en HPE Device Entitlement Gateway (DEG) v3.2.4, v3.3 y v3.3.1. La vulnerabilidad se podría explotar de forma remota para permitir una inyección SQL local y la elevación de privilegios.
Vulnerabilidad en Samsung SmartThings Hub (CVE-2018-3906)
Gravedad:
AltaAlta
Publication date: 21/09/2018
Last modified:
21/11/2018
Descripción:
Existe un desbordamiento de búfer basado en pila explotable en la recuperación de un campo de la base de datos del servidor HTTP de video-core de Samsung SmartThings Hub. El proceso video-core extrae incorrectamente el campo shard.videoHostURL de su base de datos SQLite, conduciendo a un desbordamiento de búfer en la pila. Un atacante puede enviar una petición HTTP para provocar esta vulnerabilidad.