Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Cybozu Remote Service (CVE-2018-16172)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
24/08/2020
Descripción:
Se han descubierto contramedidas incorrectas contra ataques de secuestro de clics en la pantalla de gestión de certificados de cliente en Cybozu Remote Service, desde la versión 3.0.0 hasta la 3.1.8, que permite que los atacantes remotos engañen a un usuario para que elimine el certificado de cliente registrado.
Vulnerabilidad en Cybozu Remote Service (CVE-2018-16171)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
14/01/2019
Descripción:
Vulnerabilidad de salto de directorio en Cybozu Remote Service, desde la versión 3.0.0 hasta la 3.1.8, permite que atacantes autenticados ejecuten archivos con código Java en el servidor mediante vectores sin especificar.
Vulnerabilidad en Cybozu Remote Service (CVE-2018-16169)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
14/01/2019
Descripción:
Cybozu Remote Service, desde la versión 3.0.0 hasta la 3.1.0, permite que atacantes autenticados remotos suban y ejecuten archivos con código Java en el servidor mediante vectores sin especificar.
Vulnerabilidad en LogonTracer (CVE-2018-16165)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
14/01/2019
Descripción:
Vulnerabilidad Cross-Site Scripting (XSS) en LogonTracer, en versiones 1.2.0 y anteriores, permite que los atacantes remotos inyecten scripts web o HTML arbitrarios utilizando vectores no especificados.
Vulnerabilidad en PDFium en Google Chrome (CVE-2018-6144)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
14/01/2019
Descripción:
Un error por un paso en PDFium en Google Chrome, en versiones anteriores a la 67.0.3396.62, permitía que un atacante remoto pudiese realizar una escritura de memoria fuera de límites mediante un archivo PDF manipulado.
Vulnerabilidad en PDFium en Google Chrome (CVE-2018-17461)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
14/01/2019
Descripción:
Una lectura fuera de límites en PDFium en Google Chrome, en versiones anteriores a la 68.0.3440.75, permitía que un atacante remoto pudiese realizar una lectura de memoria fuera de límites mediante un archivo PDF manipulado.
Vulnerabilidad en Blink en Google Chrome (CVE-2018-6123)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
24/08/2020
Descripción:
Un uso de memoria previamente liberada en Blink en Google Chrome, en versiones anteriores a la 67.0.3396.62, permitía que un atacante remoto pudiese explotar una corrupción de memoria dinámica (heap) mediante una página HTML manipulada.
Vulnerabilidad en Blink en Google Chrome (CVE-2018-6137)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
14/01/2019
Descripción:
La API CSS Paint en Blink en Google Chrome, en versiones anteriores a la 67.0.3396.62, permitía que un atacante remoto filtrase los datos cross-origin mediante una página HTML manipulada.
Vulnerabilidad en Skia en Google Chrome (CVE-2018-6141)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
14/01/2019
Descripción:
La validación insuficiente de un filtro de imagen en Skia en Google Chrome, en versiones anteriores a la 67.0.3396.62, permitía que un atacante remoto, que hubiese comprometido el proceso renderer, pudiese realizar una escritura de memoria fuera de límites mediante una página HTML manipulada.
Vulnerabilidad en Skia en Google Chrome (CVE-2018-6153)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
14/01/2019
Descripción:
Un error de precisión en Skia en Google Chrome, en versiones anteriores a la 68.0.3440.75, permitía que un atacante remoto que hubiese comprometido el proceso renderer pudiese realizar una escritura de memoria fuera de límites mediante una página HTML manipulada.
Vulnerabilidad en Oilpan en Google Chrome (CVE-2018-6158)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
14/01/2019
Descripción:
Una condición de carrera en Oilpan en Google Chrome, en versiones anteriores a la 68.0.3440.75, permitía que un atacante remoto pudiese explotar una corrupción de memoria dinámica (heap) mediante una página HTML manipulada.
Vulnerabilidad en Prompts en Google Chrome (CVE-2018-6160)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
14/01/2019
Descripción:
El manejo de alertas de JavaScript en Prompts en Google Chrome, en versiones anteriores a la 68.0.3440.75, permitía que un atacante remoto suplantase el contenido de Omnibox (barra de direcciones) mediante una página HTML manipulada.
Vulnerabilidad en URL Formatter en Google Chrome (CVE-2018-6163)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
02/10/2019
Descripción:
Aplicación insuficiente de caracteres confundibles en URL Formatter en Google Chrome, en versiones anteriores a la 68.0.3440.75, permitía que un atacante remoto suplantase dominios mediante homogramas IDN mediante un nombre de dominio manipulado.
Vulnerabilidad en Blink en Google Chrome (CVE-2018-6164)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
14/01/2019
Descripción:
Comprobación de origen insuficiente para el contenido CSS en Blink en Google Chrome, en versiones anteriores a la 68.0.3440.75, permitía que un atacante remoto filtrase los datos cross-origin mediante una página HTML manipulada.
Vulnerabilidad en URL Formatter en Google Chrome (CVE-2018-6172)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
02/10/2019
Descripción:
Aplicación insuficiente de caracteres confundibles en URL Formatter en Google Chrome, en versiones anteriores a la 68.0.3440.75, permitía que un atacante remoto suplantase dominios mediante homogramas IDN mediante un nombre de dominio manipulado.
Vulnerabilidad en URL Formatter en Google Chrome (CVE-2018-6173)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
02/10/2019
Descripción:
Aplicación insuficiente de caracteres confundibles en URL Formatter en Google Chrome, en versiones anteriores a la 68.0.3440.75, permitía que un atacante remoto suplantase dominios mediante homogramas IDN mediante un nombre de dominio manipulado.
Vulnerabilidad en URL Formatter en Google Chrome (CVE-2018-6175)
Gravedad:
MediaMedia
Publication date: 09/01/2019
Last modified:
02/10/2019
Descripción:
Aplicación insuficiente de caracteres confundibles en URL Formatter en Google Chrome, en versiones anteriores a la 68.0.3440.75, permitía que un atacante remoto suplantase dominios mediante homogramas IDN mediante un nombre de dominio manipulado.
Vulnerabilidad en motor de scripting Chakra y Microsoft Edge (CVE-2019-0568)
Gravedad:
AltaAlta
Publication date: 08/01/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting de Chakra gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Chakra Scripting Engine Memory Corruption Vulnerability". Esto afecta a Microsoft Edge y ChakraCore. El ID de este CVE es diferente de CVE-2019-0539 y CVE-2019-0567.
Vulnerabilidad en Windows Kernel Information Disclosure Vulnerability (CVE-2019-0536)
Gravedad:
BajaBaja
Publication date: 08/01/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el kernel de Windows gestiona incorrectamente los objetos en la memoria. Esto también se conoce como "Windows Kernel Information Disclosure Vulnerability". Esto afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 y Windows 10 Servers. El ID de este CVE es diferente de CVE-2019-0549, CVE-2019-0554 y CVE-2019-0569.
Vulnerabilidad en Visual Studio (CVE-2019-0537)
Gravedad:
MediaMedia
Publication date: 08/01/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de divulgación de información cuando Visual Studio divulga los contenidos de archivos arbitrarios si la víctima abre un archivo malicioso ".vscontent". Esto también se conoce como "Microsoft Visual Studio Information Disclosure Vulnerability". Esto afecta a Microsoft Visual Studio.
Vulnerabilidad en Windows Jet Database Engine (CVE-2019-0538)
Gravedad:
AltaAlta
Publication date: 08/01/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando el motor de Windows Jet Database gestiona indebidamente los objetos en la memoria. Esto también se conoce como "Jet Database Engine Remote Code Execution Vulnerability". Esto afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 y Windows 10 Servers. El ID de este CVE es diferente de CVE-2019-0575, CVE-2019-0576, CVE-2019-0577, CVE-2019-0578, CVE-2019-0579, CVE-2019-0580, CVE-2019-0581, CVE-2019-0582, CVE-2019-0583 y CVE-2019-0584.
Vulnerabilidad en Microsoft Edge y ChakraCore (CVE-2019-0539)
Gravedad:
AltaAlta
Publication date: 08/01/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting de Chakra gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Chakra Scripting Engine Memory Corruption Vulnerability". Esto afecta a Microsoft Edge y ChakraCore. El ID de este CVE es diferente de CVE-2019-0567 y CVE-2019-0568.
Vulnerabilidad en motor MSHTML en productos microsoft (CVE-2019-0541)
Gravedad:
AltaAlta
Publication date: 08/01/2019
Last modified:
28/09/2020
Descripción:
Existe una vulnerabilidad de ejecución remota de código debido a la forma en la que el motor MSHTML valida indebidamente las entradas. Esto también se conoce como "MSHTML Engine Remote Code Execution Vulnerability". Esto afecta a Microsoft Office, Microsoft Office Word Viewer, Internet Explorer 9, Internet Explorer 11, Microsoft Excel Viewer, Internet Explorer 10 y Office 365 ProPlus.
Vulnerabilidad en Windows (CVE-2019-0543)
Gravedad:
MediaMedia
Publication date: 08/01/2019
Last modified:
24/08/2020
Descripción:
Existe un escalado de privilegios cuando Windows gestiona indebidamente las peticiones de autenticación. Esto también se conoce como "Microsoft Windows Elevation of Privilege Vulnerability". Esto afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 y Windows 10 Servers.
Vulnerabilidad en productos Microsoft .NET (CVE-2019-0545)
Gravedad:
MediaMedia
Publication date: 08/01/2019
Last modified:
14/01/2019
Descripción:
Una vulnerabilidad de divulgación de información en .NET Framework y .NET Core, la cual omite las configuraciones de CORS (Cross Origin Resource Sharing), también conocido como ".NET Framework Information Disclosure Vulnerability". Esto afecta a Microsoft .NET Framework 2.0, Microsoft .NET Framework 3.0, Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2, Microsoft .NET Framework 4.5.2, Microsoft .NET Framework 4.6, Microsoft .NET Framework 4.6/4.6.1/4.6.2/4.7/4.7.1/4.7.2, Microsoft .NET Framework 4.7/4.7.1/4.7.2, .NET Core 2.1, Microsoft .NET Framework 4.7.1/4.7.2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4.6/4.6.1/4.6.2, .NET Core 2.2 y Microsoft .NET Framework 4.7.2.
Vulnerabilidad en productos Windows (CVE-2019-0549)
Gravedad:
BajaBaja
Publication date: 08/01/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el kernel de Windows gestiona incorrectamente los objetos en la memoria. Esto también se conoce como "Windows Kernel Information Disclosure Vulnerability". Esto afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 y Windows 10 Servers. El ID de este CVE es diferente de CVE-2019-0536, CVE-2019-0554 y CVE-2019-0569.
Vulnerabilidad en Windows Hyper-V (CVE-2019-0550)
Gravedad:
AltaAlta
Publication date: 08/01/2019
Last modified:
14/01/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando Windows Hyper-V, en un servidor host, valida incorrectamente entradas de un usuario autenticado en un sistema operativo invitado. Esto también se conoce como "Windows Hyper-V Remote Code Execution Vulnerability". Esto afecta a Windows 10 Servers, Windows 10 y Windows Server 2019. El ID de este CVE es diferente de CVE-2019-0551.
Vulnerabilidad en Windows Hyper-V (CVE-2019-0551)
Gravedad:
AltaAlta
Publication date: 08/01/2019
Last modified:
14/01/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando Windows Hyper-V, en un servidor host, valida incorrectamente entradas de un usuario autenticado en un sistema operativo invitado. Esto también se conoce como "Windows Hyper-V Remote Code Execution Vulnerability". Esto afecta a Windows Server 2016, Windows 10, Windows Server 2019 y Windows 10 Servers. El ID de este CVE es diferente de CVE-2019-0550.
Vulnerabilidad en Windows Subsystem para Linux (CVE-2019-0553)
Gravedad:
BajaBaja
Publication date: 08/01/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de divulgación de información cuando Windows Subsystem para Linux gestiona indebidamente los objetos en memoria. Esto también se conoce como "Windows Subsystem for Linux Information Disclosure Vulnerability." Esto afecta a Windows 10 Servers, Windows 10 y Windows Server 2019.
Vulnerabilidad en kernel de Windows (CVE-2019-0554)
Gravedad:
BajaBaja
Publication date: 08/01/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el kernel de Windows gestiona incorrectamente los objetos en la memoria. Esto también se conoce como "Windows Kernel Information Disclosure Vulnerability". Esto afecta a Windows 7, Windows Server 2012 R2, Windows RT 8.1, Windows Server 2008, Windows Server 2019, Windows Server 2012, Windows 8.1, Windows Server 2016, Windows Server 2008 R2, Windows 10 y Windows 10 Servers. El ID de este CVE es diferente de CVE-2019-0536, CVE-2019-0549 y CVE-2019-0569.
Vulnerabilidad en Microsoft Word (CVE-2019-0561)
Gravedad:
MediaMedia
Publication date: 08/01/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de divulgación de información cuando se utilizan los botones de macros de Microsoft Word de manera indebida. Esto también se conoce como "Microsoft Edge Information Disclosure Vulnerability". Esto afecta a Microsoft Word, Office 365 ProPlus, Microsoft Office y Word.
Vulnerabilidad en Microsoft Edge Browser Broker COM (CVE-2019-0566)
Gravedad:
MediaMedia
Publication date: 08/01/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de escalado de privilegios en los objetos de Microsoft Edge Browser Broker COM. Esto también se conoce como "Microsoft Edge Elevation of Privilege Vulnerability". Esto afecta a Microsoft Edge.
Vulnerabilidad en motor de scripting Chakra y Microsoft Edge (CVE-2019-0567)
Gravedad:
AltaAlta
Publication date: 08/01/2019
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting de Chakra gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Chakra Scripting Engine Memory Corruption Vulnerability". Esto afecta a Microsoft Edge y ChakraCore. El ID de este CVE es diferente de CVE-2019-0539 y CVE-2019-0568.
CVE-2018-1993
Gravedad:
BajaBaja
Publication date: 08/01/2019
Last modified:
09/10/2019
Descripción:
La habilitación del uso de la caché local de solo lectura (también conocida como Local Read Only Cache, LROC) en las versiones 4.1.1, 4.2.0, 4.2.1, 4.2.2, 4.2.3 y 5.0.0 de IBM Spectrum Scale (GPFS) podría causar una operación de lectura en un archivo para devolver datos de un archivo distinto. IBM X-Force ID: 154440.
Vulnerabilidad en IBM API Connect (CVE-2018-1932)
Gravedad:
MediaMedia
Publication date: 08/01/2019
Last modified:
09/10/2019
Descripción:
IBM API Connect, en sus versiones 5.0.0.0 hasta la 5.0.8.4, está afectado por una vulnerabilidad en el servidor de gestión de control de acceso basado en roles que podría permitir a un usuario autenticado obtener información altamente sensible. IBM X-Force ID: 153175.
CVE-2018-20671
Gravedad:
MediaMedia
Publication date: 04/01/2019
Last modified:
24/08/2020
Descripción:
load_specific_debug_section en objdump.c en GNU Binutils hasta la versión 2.31.1 contiene una vulnerabilidad de desbordamiento de enteros que puede provocar un desbordamiento de búfer basado en memoria dinámica (heap) mediante un tamaño de sección manipulado.
Vulnerabilidad en IBM i Access for Windows (CVE-2018-1888)
Gravedad:
MediaMedia
Publication date: 04/01/2019
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad de ruta de búsqueda no fiable en las versiones 7.1 y anteriores de IBM i Access for Windows, en Windows, podría permitir la ejecución de código arbitrario mediante un troyano DLL en el actual directorio de trabajo, el cual está relacionado con el uso de la función LoadLibrary. IBM X-Force ID: 152079.
Vulnerabilidad en productos VIVOTEK Network Camera Series (CVE-2018-18244)
Gravedad:
MediaMedia
Publication date: 03/01/2019
Last modified:
14/01/2019
Descripción:
Cross-Site Scripting (XSS) en syslog.html en los productos VIVOTEK Network Camera Series con un firmware entre 0x06x y 0x08x permite a los atacantes remotos ejecutar código arbitrario JavaScript mediante una cabecera HTTP Referer.
Vulnerabilidad en productos VIVOTEK Network Camera Series (CVE-2018-18005)
Gravedad:
MediaMedia
Publication date: 03/01/2019
Last modified:
14/01/2019
Descripción:
Cross-Site Scripting (XSS) en event_script.js en los productos VIVOTEK Network Camera Series con un firmware entre el 0x06x y 0x08x permite a los atacantes remotos ejecutar código JavaScript arbitrario mediante un parámetro URL de la cadena de consulta.
CVE-2018-18004
Gravedad:
MediaMedia
Publication date: 03/01/2019
Last modified:
24/08/2020
Descripción:
Control de acceso incorrecto en mod_inetd.cgi en los productos VIVOTEK Network Camera Series con un firmware anterior al XXXXXX-VVTK-0X09a permite a los atacantes remotos habilitar servicios de sistema arbitrarios mediante un parámetro URL.
Vulnerabilidad en Plikli CMS (CVE-2018-19415)
Gravedad:
AltaAlta
Publication date: 03/01/2019
Last modified:
14/01/2019
Descripción:
Múltiples vulnerabilidades de inyección SQL en la versión 4.0.0 de Plikli CMS permiten a los atacantes remotos ejecutar comandos SQL arbitrarios mediante (1) el parámetro "id" en join_group.php o (2) el parámetro "comment_id" en story.php.
Vulnerabilidad en Plikli CMS (CVE-2018-19414)
Gravedad:
MediaMedia
Publication date: 03/01/2019
Last modified:
14/01/2019
Descripción:
Múltiples vulnerabilidades Cross-Site Scripting (XSS) en la versión 4.0.0 de Plikli CMS permiten a los atacantes remotos inyectar scripts web o HTML arbitrarios mediante el parámetro "keyboard" en groups.php, el parámetro "username" en login.php y el parámetro "date" en search.php.
Vulnerabilidad en Ansible Tower (CVE-2018-16879)
Gravedad:
AltaAlta
Publication date: 03/01/2019
Last modified:
18/09/2020
Descripción:
Ansible Tower en versiones anteriores a la 3.3.3 no establece un canal seguro, ya que utiliza los ajustes del canal de configuración inseguros por defecto para comunicarse con los trabajadores celery de RabbitMQ. Esto podría provocar el filtrado de información sensible, como pueden ser las contraseñas así como los ataques de denegación de servicio (DoS), borrando proyectos o archivos de inventario.
Vulnerabilidad en HHVM (CVE-2018-6340)
Gravedad:
MediaMedia
Publication date: 31/12/2018
Last modified:
09/10/2019
Descripción:
La función Memcache::getextendedstats puede utilizarse para provocar una lectura fuera de límites. La explotación de este problema requiere control sobre nombres y/o puertos del servidor "memcatched". Esto afecta a todas las versiones soportadas de HVVM (en versiones anteriores a las 3.30 y 3.27.4).
Vulnerabilidad en HHVM (CVE-2018-6335)
Gravedad:
MediaMedia
Publication date: 31/12/2018
Last modified:
09/10/2019
Descripción:
Un frame h2 malformado puede provocar una excepción 'std::out_of_range' durante el análisis de metadatos prioritarios. Este comportamiento puede provocar una denegación de servicio (DoS). Esto afecta a todas las versiones de HHVM soportadas (en versiones anteriores a las 3.25.2, 3.24.6 y 3.21.10)
Vulnerabilidad en hsweb (CVE-2018-20595)
Gravedad:
MediaMedia
Publication date: 30/12/2018
Last modified:
14/01/2019
Descripción:
Se ha descubierto un problema de Cross-Site Request Forgery (CSRF) en web/authorization/oauth2/controller/OAuth2ClientController.java en hsweb 3.0.4 debido a que el parámetro state en la petición no se compara con el parámetro state en la sesión una vez la autenticación del usuario es exitosa.
Vulnerabilidad en otfcc (CVE-2018-20588)
Gravedad:
MediaMedia
Publication date: 30/12/2018
Last modified:
14/01/2019
Descripción:
lib/support/unicodeconv/unicodeconv.c en libotfcc.a en otfcc v0.10.3-alpha tiene una sobrelectura de búfer.
Vulnerabilidad en Contiki-NG (CVE-2018-20579)
Gravedad:
BajaBaja
Publication date: 28/12/2018
Last modified:
24/08/2020
Descripción:
Contiki-NG, en versiones anteriores a la 4.2, tiene un desbordamiento de búfer basado en pila en la función push en os/lib/json/jsonparse.c que permite una escritura fuera de límites de un carácter "{" o "[".
Vulnerabilidad en Dolibarr ERP/CRM (CVE-2018-19799)
Gravedad:
MediaMedia
Publication date: 26/12/2018
Last modified:
14/01/2019
Descripción:
Dolibarr ERP/CRM hasta la versión 8.0.3 tiene Cross-Site Scripting (XSS) en /exports/export.php?datatoexport=.
Vulnerabilidad en MetInfo (CVE-2018-20486)
Gravedad:
MediaMedia
Publication date: 26/12/2018
Last modified:
14/01/2019
Descripción:
MetInfo, desde las versiones 6.x hasta la 6.1.3, tiene Cross-Site Scripting (XSS) mediante el parámetro url_array[] en /admin/login/login_check.php.
Vulnerabilidad en CVE-2018-20383 (CVE-2018-20383)
Gravedad:
MediaMedia
Publication date: 23/12/2018
Last modified:
02/10/2019
Descripción:
Los dispositivos ARRIS DG950A DG950A 7.10.145 y DG950S 7.10.145.EURO permiten que atacantes remotos descubran credenciales mediante peticiones SNMP iso.3.6.1.4.1.4491.2.4.1.1.6.1.1.0 e iso.3.6.1.4.1.4491.2.4.1.1.6.1.2.0.
Vulnerabilidad en CVE-2018-20379 (CVE-2018-20379)
Gravedad:
BajaBaja
Publication date: 23/12/2018
Last modified:
14/01/2019
Descripción:
Los dispositivos Technicolor DPC3928SL D3928SL-PSIP-13-A010-c3420r55105-160428a permiten Cross-Site Scripting (XSS) mediante un ataque de inyección de protocolos cruzados con un setSSID de 1.3.6.1.4.1.4413.2.2.2.1.18.1.2.1.1.3.10001.
Vulnerabilidad en CVE-2018-20386 (CVE-2018-20386)
Gravedad:
MediaMedia
Publication date: 23/12/2018
Last modified:
02/10/2019
Descripción:
Los dispositivos ARRIS SBG6580-2 D30GW-SEAEAGLE-1.5.2.5-GA-00-NOSH permiten que atacantes remotos descubran credenciales mediante peticiones SNMP iso.3.6.1.4.1.4491.2.4.1.1.6.1.1.0 e iso.3.6.1.4.1.4491.2.4.1.1.6.1.2.0.
Vulnerabilidad en CVE-2018-20387 (CVE-2018-20387)
Gravedad:
MediaMedia
Publication date: 23/12/2018
Last modified:
02/10/2019
Descripción:
Los dispositivos Bnmux BCW700J 5.20.7, BCW710J 5.30.6a y BCW710J2 5.30.16 permiten que los atacantes remotos descubran credenciales mediante peticiones SNMP iso.3.6.1.4.1.4491.2.4.1.1.6.1.1.0 e iso.3.6.1.4.1.4491.2.4.1.1.6.1.2.0.
Vulnerabilidad en CVE-2018-20388 (CVE-2018-20388)
Gravedad:
MediaMedia
Publication date: 23/12/2018
Last modified:
02/10/2019
Descripción:
Los dispositivos Comtrend CM-6200un 123.447.007 y CM-6300n 123.553mp1.005 permiten que atacantes remotos descubran credenciales mediante peticiones SNMP iso.3.6.1.4.1.4491.2.4.1.1.6.1.1.0 e iso.3.6.1.4.1.4491.2.4.1.1.6.1.2.0.
Vulnerabilidad en CVE-2018-20373 (CVE-2018-20373)
Gravedad:
BajaBaja
Publication date: 22/12/2018
Last modified:
14/01/2019
Descripción:
Los routers módem ADSL de Tenda, en versiones 1.0.1, permiten Cross-Site Scripting (XSS) mediante el nombre de host de un cliente DHCP.
Vulnerabilidad en dispositivos TRENDnet (CVE-2018-19242)
Gravedad:
MediaMedia
Publication date: 20/12/2018
Last modified:
14/01/2019
Descripción:
Desbordamiento de búfer en apply.cgi en dispositivos TRENDnet TEW-632BRP 1.010B32 y TEW-673GRU permite que los atacantes secuestren el flujo de control hacia cualquier ubicación especificada por el atacante, manipulando una carga útil en una petición POST (con autenticación).
Vulnerabilidad en dispositivos TRENDnet (CVE-2018-19241)
Gravedad:
MediaMedia
Publication date: 20/12/2018
Last modified:
14/01/2019
Descripción:
Desbordamiento de búfer en video.cgi en dispositivos TRENDnet TV-IP110WN V1.2.2 build 68, V1.2.2.65 y V1.2.2 build 64, así como TV-IP121WN V1.2.2 build 28 permite que los atacantes secuestren el flujo de control hacia cualquier ubicación especificada por el atacante, manipulando una carga útil en una petición POST (sin autenticación).
Vulnerabilidad en dispositivos TRENDnet (CVE-2018-19240)
Gravedad:
AltaAlta
Publication date: 20/12/2018
Last modified:
14/01/2019
Descripción:
Desbordamiento de búfer en network.cgi en dispositivos TRENDnet TV-IP110WN V1.2.2 build 68, V1.2.2.65 y V1.2.2 build 64, así como TV-IP121WN V1.2.2 build 28 permite que los atacantes secuestren el flujo de control hacia cualquier ubicación especificada por el atacante, manipulando una carga útil en una petición POST (sin autenticación).
Vulnerabilidad en dispositivos TRENDnet TEW-673GRU (CVE-2018-19239)
Gravedad:
AltaAlta
Publication date: 20/12/2018
Last modified:
14/01/2019
Descripción:
Los dispositivos TRENDnet TEW-673GRU v1.00b40 tienen una vulnerabilidad de inyección de comandos del sistema operativo en la función start_arpping del binario timer, lo que permite que atacantes remotos ejecuten comandos arbitrarios mediante tres parámetros (dhcpd_start, dhcpd_end e lan_ipaddr) pasados al binario apply.cgi mediante una petición POST.
Vulnerabilidad en Modbus Slave en modbus tools (CVE-2018-18759)
Gravedad:
MediaMedia
Publication date: 16/11/2018
Last modified:
14/01/2019
Descripción:
Modbus Slave 7.0.0 en modbus tools tiene un desbordamiento de búfer.
Vulnerabilidad en baserCMS (CVE-2018-18942)
Gravedad:
MediaMedia
Publication date: 05/11/2018
Last modified:
24/08/2020
Descripción:
En baserCMS en versiones anteriores a la 4.1.4, lib\Baser\Model\ThemeConfig.php permite que atacantes remotos ejecuten código PHP arbitrario mediante el parámetro data[ThemeConfig][logo] en admin/theme_configs/form.
Vulnerabilidad en Info-ZIP UnZip (CVE-2018-18384)
Gravedad:
MediaMedia
Publication date: 16/10/2018
Last modified:
16/12/2019
Descripción:
Info-ZIP UnZip 6.0 tiene un desbordamiento de búfer en list.c, cuando un archivo ZIP tiene una relación manipulada entre el valor de tamaño comprimido y el no comprimido. Esto se debe a que el tamaño de búfer es 10 y se supone que es 12.
Vulnerabilidad en Blueimp jQuery-File-Upload (CVE-2018-9206)
Gravedad:
AltaAlta
Publication date: 11/10/2018
Last modified:
11/09/2019
Descripción:
Vulnerabilidad de subida de archivos arbitrarios sin autenticar en Blueimp jQuery-File-Upload en versiones iguales o anteriores a la v9.22.0.
Vulnerabilidad en Pippo (CVE-2018-18240)
Gravedad:
AltaAlta
Publication date: 11/10/2018
Last modified:
24/08/2020
Descripción:
Pippo hasta la versión 1.11.0 permite la ejecución remota de código mediante un comando en java.lang.ProcessBuilder debido a que el componente XstreamEngine no emplea los mecanismos de protección disponibles de XStream para restringir la deserialización.
Vulnerabilidad en Tinc VPN (CVE-2018-16758)
Gravedad:
MediaMedia
Publication date: 10/10/2018
Last modified:
02/10/2019
Descripción:
La falta de autenticación de mensajes en el protocolo meta en Tinc VPN en versiones 1.0.34 y anteriores permite que un ataque Man-in-the-Middle (MitM) deshabilite el cifrado de paquetes VPN.
Vulnerabilidad en Eclipse Vert.x (CVE-2018-12544)
Gravedad:
AltaAlta
Publication date: 10/10/2018
Last modified:
09/10/2019
Descripción:
De la versión 3.5.Beta1 a la 3.5.3 de Eclipse Vert.x, el validador de tipos XML OpenAPI crea analizadores XML sin las medidas defensivas adecuadas contra ataques XML. Este mecanismo es exclusivo a cuando el desarrollador emplea el validador de tipos XML OpenAPI de Eclipse Vert.x para validar un esquema proporcionado.
Vulnerabilidad en Juniper Networks Junos OS (CVE-2018-0053)
Gravedad:
AltaAlta
Publication date: 10/10/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad de omisión de autenticación en la secuencia de arranque inicial en Juniper Networks Junos OS en vSRX Series podría permitir que un atacante obtenga el control total del sistema sin autenticación cuando el sistema se arranca inicialmente. Las versiones afectadas de Juniper Networks Junos OS son: Versiones 15.1X49 anteriores a la 15.1X49-D30 en vSRX.
Vulnerabilidad en productos Intel (CVE-2018-12131)
Gravedad:
MediaMedia
Publication date: 10/10/2018
Last modified:
02/10/2019
Descripción:
Los permisos en los instaladores de paquetes de controladores para Intel NVMe en versiones anteriores a la 4.0.0.1007 e Intel RSTe en versiones anteriores a la 4.7.0.2083 podría permitir que un usuario autenticado pueda escalar privilegios mediante acceso local.
Vulnerabilidad en productos Microsoft (CVE-2018-8531)
Gravedad:
AltaAlta
Publication date: 10/10/2018
Last modified:
24/08/2020
Descripción:
Existe una vulnerabilidad de ejecución remota de código en la forma en la que Azure IoT Hub Device Client SDK con el protocolo MQTT accede a los objetos en la memoria. Esto también se conoce como "Azure IoT Device Client SDK Memory Corruption Vulnerability". Esto afecta a Hub Device Client SDK y Azure IoT Edge.
Vulnerabilidad en productos Microsoft (CVE-2018-8497)
Gravedad:
MediaMedia
Publication date: 10/10/2018
Last modified:
02/10/2019
Descripción:
Existe una vulnerabilidad de elevación de privilegios por la forma en la que el kernel de Windows gestiona los objetos en la memoria. Esto también se conoce como "Windows Kernel Elevation of Privilege Vulnerability". Esto afecta a Windows Server 2016, Windows 10, Windows Server 2019 y Windows 10 Servers.
Vulnerabilidad en obs-service-tar_scm en Open Build Service (CVE-2018-12473)
Gravedad:
MediaMedia
Publication date: 02/10/2018
Last modified:
09/10/2019
Descripción:
Una vulnerabilidad de salto de directorio en obs-service-tar_scm en Open Build Service permite que los atacantes remotos accedan a archivos que no están en la build actual. En el propio servidor, esto se evita confinando el trabajador mediante KVM. Las versiones afectadas son openSUSE Open Build Service en versiones anteriores a la 70d1aa4cc4d7b940180553a63805c22fc62e2cf0.