Home / Content / Boletín de INCIBE-CERT del 04-05-2017

Boletín de INCIBE-CERT del 04-05-2017

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en Joomla (CVE-2017-7985)
Gravedad:
Medium Medium
Fecha publicación : 04/25/2017
Última modificación:
03/19/2019
Descripción:
El filtrado inadecuado de caracteres multibyte, en Joomla 1.5.0 hasta 3.6.5, puede derivar en vulnerabilidades XSS en varios componentes. El fallo se ha corregido en la versión 3.7.0.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en WBCE CMS (CVE-2017-2120)
Gravedad:
Medium Medium
Fecha publicación : 04/28/2017
Última modificación:
05/03/2017
Descripción:
Vulnerabilidad de inyección SQL en WBCE CMS 1.1.10 y anteriores permite a un atacante con privilegios de administrador ejecutar comandos SQL a través de vectores no especificados.
Vulnerabilidad en WBCE CMS (CVE-2017-2119)
Gravedad:
Medium Medium
Fecha publicación : 04/28/2017
Última modificación:
05/03/2017
Descripción:
Vulnerabilidad de recorrido de directorios en WBCE CMS 1.1.10 y anteriores permite a un atacante remoto leer archivos de forma arbitraria a través de vectores no especificados.
Vulnerabilidad en Cybozu Office (CVE-2017-2116)
Gravedad:
Medium Medium
Fecha publicación : 04/28/2017
Última modificación:
08/24/2020
Descripción:
Cybozu Office 10.0.0 hasta 10.5.0 permite a un atacante remoto autenticado sortear la restricción de acceso para borrar plantillas "customapp" a través de vectores no especificados.
Vulnerabilidad en Cybozu Office (CVE-2017-2114)
Gravedad:
LowLow
Fecha publicación : 04/28/2017
Última modificación:
05/03/2017
Descripción:
Vulnerabilidad de cross-site scripting en Cybozu Office 10.0.0 hasta 10.5.0 permite a un atacante remoto autenticado inyectar script web o HTML a través de vectores no especificados.
Vulnerabilidad en Cybozu Garoon (CVE-2017-2095)
Gravedad:
Medium Medium
Fecha publicación : 04/28/2017
Última modificación:
08/24/2020
Descripción:
Cybozu Garoon 3.0.0 hasta 4.2.3 permiten a un atacante remoto autenticado sortear la restricción de acceso en la función mail, consiguiendo una alteración del orden de las carpetas de correo a través de vectores no especificados.
Vulnerabilidad en Cybozu Garoon (CVE-2017-2094)
Gravedad:
Medium Medium
Fecha publicación : 04/28/2017
Última modificación:
10/02/2019
Descripción:
Cybozu Garoon 3.0.0 hasta 4.2.3 permite a un atacante remoto autenticado sortear la restricción de acceso en Workflow y la función "MultiRepor" para alterar o borrar información a través de vectores no especificados.
Vulnerabilidad en Cybozu Garoon (CVE-2017-2093)
Gravedad:
Medium Medium
Fecha publicación : 04/28/2017
Última modificación:
05/03/2017
Descripción:
Cybozu Garoon 3.0.0 hasta 4.2.3 permite a un atacante remoto obtener tokens utilizados por la protección CSRF a través de vectores no especificados.
Vulnerabilidad en Cybozu Garoon (CVE-2017-2091)
Gravedad:
Medium Medium
Fecha publicación : 04/28/2017
Última modificación:
10/02/2019
Descripción:
Cybozu Garoon 3.0.0 hasta 4.2.3 permiten a un atacante remoto autenticado sortear la restricción de acceso en la función Phone Messages para alterar el estado de los mensajes del teléfono a través de vectores no especificados.
Vulnerabilidad en Cybozu Garoon (CVE-2017-2092)
Gravedad:
LowLow
Fecha publicación : 04/28/2017
Última modificación:
05/03/2017
Descripción:
Vulnerabilidad de cross-site scripting en Cybozu Garoon 3.0.0 hasta 4.2.3 permite a un atacante remoto autenticado inyectar script web o HTML a través de vectores no especificados.
Vulnerabilidad en Canvas (CVE-2017-8298)
Gravedad:
LowLow
Fecha publicación : 04/27/2017
Última modificación:
05/03/2017
Descripción:
cnvs.io Canvas 3.3.0 tiene una vulnerabilidad XSS en los campos del título y del contenido al realizar la acción "Posts > Add New", y al crear nuevas etiquetas y usuarios.
Vulnerabilidad en el componente regex de YARA (CVE-2017-8294)
Gravedad:
Medium Medium
Fecha publicación : 04/27/2017
Última modificación:
05/03/2017
Descripción:
libyara/re.c en el componente regex de YARA 3.5.0 permite a atacantes remotos provocar una denegación de servicio (lectura fuera de límites y caída de la aplicación) a través de una regla manipulada que es mal gestionada en yr_re_exec function.
Vulnerabilidad en el componente HDFS web UI de Apache Hadoop (CVE-2017-3161)
Gravedad:
Medium Medium
Fecha publicación : 04/26/2017
Última modificación:
07/03/2021
Descripción:
El interface web HDFS de Apache Hadoop anterior a 2.7.0 es vulnerable a un ataque cross-site scripting a través de un parámetro mal filtrado.
Vulnerabilidad en IBM Maximo Asset Management (CVE-2016-8924)
Gravedad:
Medium Medium
Fecha publicación : 04/26/2017
Última modificación:
05/03/2017
Descripción:
IBM Maximo Asset Management 7.1, 7.5 y 7.6 podrían permitir a un atacante remoto secuestrar la sesión de un usuario debido a un error de validación del identificador de sesión.
Vulnerabilidad en PrivateTunnel (CVE-2017-7720)
Gravedad:
Medium Medium
Fecha publicación : 04/26/2017
Última modificación:
05/03/2017
Descripción:
Un desbordamiento de buffer en PrivateTunnel 2.7 y 2.8 permite a un atacante local causar una denegación de servicio (sobreescritura de SEH) a través de una contraseña larga.
Vulnerabilidad en Joomla! (CVE-2017-7988)
Gravedad:
Medium Medium
Fecha publicación : 04/25/2017
Última modificación:
10/02/2019
Descripción:
El filtrado inadecuado del contenido de los formularios en Joomla! 1.6.0 hasta 3.6.5 permite la sobreescritura del autor de un artículo. El fallo se ha corregido en la versión 3.7.0.
Vulnerabilidad en el gestor de plantillas de Joomla! (CVE-2017-7987)
Gravedad:
Medium Medium
Fecha publicación : 04/25/2017
Última modificación:
05/03/2017
Descripción:
El escapado inadecuado de nombres de ficheros y directorios en Joomla! 3.2.0 hasta 3.6.5 deriva en vulnerabilidades XSS en el gestor de plantillas. El fallo se ha corregido en la versión 3.7.0.
Vulnerabilidad en Joomla (CVE-2017-7983)
Gravedad:
Medium Medium
Fecha publicación : 04/25/2017
Última modificación:
05/03/2017
Descripción:
Al enviar un email utilizando JMail API, en Joomla! 1.5.0 hasta 3.6.5, se divulga en la cabecera del email la versión de PHPMailer utilizada. El fallo ha sido corregido en la versión 3.7.0.
Vulnerabilidad en El archivo hw/display/cirrus_vga_rop.h en QEMU (CVE-2017-7718)
Gravedad:
LowLow
Fecha publicación : 04/20/2017
Última modificación:
11/10/2020
Descripción:
En el archivo hw/display/cirrus_vga_rop.h en QEMU (también se conoce como Quick Emulator), permite a los usuarios privilegiados del sistema operativo invitado local causar una denegación de servicio (lectura fuera de límites y bloqueo del proceso QEMU) por medio de vectores relacionados con el copiado de datos VGA mediante las funciones cirrus_bitblt_rop_fwd_transp_ y cirrus_bitblt__.