Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el kernel de Linux (CVE-2019-8912)
Gravedad:
HighHigh
Fecha publicación : 02/18/2019
Última modificación:
04/12/2019
Descripción:
En el kernel de Linux, hasta la versión 4.20.11, af_alg_release() en crypto/af_alg.c no establece un valor NULL para cierto miembro de estructura, lo que conduce a un uso de memoria previamente liberada en sockfs_setattr.
Vulnerabilidad en Oracle Virtualization (CVE-2019-2527)
Gravedad:
LowLow
Fecha publicación : 01/16/2019
Última modificación:
08/24/2020
Descripción:
Vulnerabilidad en el componente Oracle VM VirtualBox de Oracle Virtualization (subcomponente: Core). Las versiones compatibles que se han visto afectadas son las anteriores a la 5.2.26 y las anteriores a la 6.0.4. Una vulnerabilidad fácilmente explotable permite que un atacante con un bajo nivel de privilegios y con permisos de inicio de sesión en la infraestructura en la que se ejecuta Oracle VM VirtualBox comprometa la seguridad de Oracle VM VirtualBox. Aunque la vulnerabilidad está presente en Oracle VM VirtualBox, los ataques podrían afectar seriamente a productos adicionales. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a que el atacante consiga provocar el bloqueo o cierre repetido (DoS completo) de Oracle VM VirtualBox. CVSS 3.0 Base Score 6.5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H).
Vulnerabilidad en CVE-2018-20481 (CVE-2018-20481)
Gravedad:
Medium Medium
Fecha publicación : 12/26/2018
Última modificación:
07/23/2020
Descripción:
XRef::getEntry en XRef.cc en Poppler 0.72.0 gestiona de manera incorrecta las entradas XRef no asignadas, lo que permite que los atacantes remotos provoquen una denegación de servicio (desreferencia de puntero NULL) mediante un documento PDF manipulado, cuando se llama a XRefEntry::setFlag, en XRef.h, desde Parser::makeStream en Parser.cc.
Vulnerabilidad en el kernel de Linux (CVE-2018-16862)
Gravedad:
LowLow
Fecha publicación : 11/26/2018
Última modificación:
04/01/2019
Descripción:
Se ha detectado un fallo de seguridad en el kernel de Linux de manera que el subsistema "cleancache" borre un inode después del truncado de archivos final (eliminación). El nuevo archivo creado con el mismo inode podría contener páginas restantes del "cleancache" y los datos antiguos del mismo, en vez de los del nuevo archivo.
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3225)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2018
Última modificación:
10/02/2019
Descripción:
Vulnerabilidad en el componente Oracle Outside In Technology de Oracle Fusion Middleware (subcomponente: Outside In Filters). Las versiones compatibles que se han visto afectadas son la 8.5.3 y la 8.5.4. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Outside In Technology. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a la capacidad no autorizada de provocar el bloqueo o cierre inesperado repetido (DoS completo) de Oracle Outside In Technology, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology. Nota: Outside In Technology es una suite de kits de desarrollo de software (SDK). La puntuación de protocolo y de CVSS depende del software que emplea el código Outside In Technology. La puntuación CVSS asume que el software pasa datos recibidos a través de una red directamente en código Outside In Technology, pero si los datos no se reciben a través de una red, la puntuación CVSS podría ser menor. CVSS 3.0 Base Score 7.1 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3224)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2018
Última modificación:
10/02/2019
Descripción:
Vulnerabilidad en el componente Oracle Outside In Technology de Oracle Fusion Middleware (subcomponente: Outside In Filters). Las versiones compatibles que se han visto afectadas son la 8.5.3 y la 8.5.4. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Outside In Technology. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a la capacidad no autorizada de provocar el bloqueo o cierre inesperado repetido (DoS completo) de Oracle Outside In Technology, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology. Nota: Outside In Technology es una suite de kits de desarrollo de software (SDK). La puntuación de protocolo y de CVSS depende del software que emplea el código Outside In Technology. La puntuación CVSS asume que el software pasa datos recibidos a través de una red directamente en código Outside In Technology, pero si los datos no se reciben a través de una red, la puntuación CVSS podría ser menor. CVSS 3.0 Base Score 7.1 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3226)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2018
Última modificación:
10/02/2019
Descripción:
Vulnerabilidad en el componente Oracle Outside In Technology de Oracle Fusion Middleware (subcomponente: Outside In Filters). Las versiones compatibles que se han visto afectadas son la 8.5.3 y la 8.5.4. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Outside In Technology. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a la capacidad no autorizada de provocar el bloqueo o cierre inesperado repetido (DoS completo) de Oracle Outside In Technology, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology. Nota: Outside In Technology es una suite de kits de desarrollo de software (SDK). La puntuación de protocolo y de CVSS depende del software que emplea el código Outside In Technology. La puntuación CVSS asume que el software pasa datos recibidos a través de una red directamente en código Outside In Technology, pero si los datos no se reciben a través de una red, la puntuación CVSS podría ser menor. CVSS 3.0 Base Score 7.1 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3227)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2018
Última modificación:
10/02/2019
Descripción:
Vulnerabilidad en el componente Oracle Outside In Technology de Oracle Fusion Middleware (subcomponente: Outside In Filters). Las versiones compatibles que se han visto afectadas son la 8.5.3 y la 8.5.4. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Outside In Technology. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a la capacidad no autorizada de provocar el bloqueo o cierre inesperado repetido (DoS completo) de Oracle Outside In Technology, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology. Nota: Outside In Technology es una suite de kits de desarrollo de software (SDK). La puntuación de protocolo y de CVSS depende del software que emplea el código Outside In Technology. La puntuación CVSS asume que el software pasa datos recibidos a través de una red directamente en código Outside In Technology, pero si los datos no se reciben a través de una red, la puntuación CVSS podría ser menor. CVSS 3.0 Base Score 7.1 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3228)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2018
Última modificación:
10/02/2019
Descripción:
Vulnerabilidad en el componente Oracle Outside In Technology de Oracle Fusion Middleware (subcomponente: Outside In Filters). Las versiones compatibles que se han visto afectadas son la 8.5.3 y la 8.5.4. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Outside In Technology. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a la capacidad no autorizada de provocar el bloqueo o cierre inesperado repetido (DoS completo) de Oracle Outside In Technology, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology. Nota: Outside In Technology es una suite de kits de desarrollo de software (SDKs). La puntuación de protocolo y de CVSS depende del software que emplea el código Outside In Technology. La puntuación CVSS asume que el software pasa datos recibidos a través de una red directamente en código Outside In Technology, pero si los datos no se reciben a través de una red, la puntuación CVSS podría ser menor. CVSS 3.0 Base Score 7.1 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3229)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2018
Última modificación:
10/02/2019
Descripción:
Vulnerabilidad en el componente Oracle Outside In Technology de Oracle Fusion Middleware (subcomponente: Outside In Filters). Las versiones compatibles que se han visto afectadas son la 8.5.3 y la 8.5.4. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Outside In Technology. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a la capacidad no autorizada de provocar el bloqueo o cierre inesperado repetido (DoS completo) de Oracle Outside In Technology, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology. Nota: Outside In Technology es una suite de kits de desarrollo de software (SDK). La puntuación de protocolo y de CVSS depende del software que emplea el código Outside In Technology. La puntuación CVSS asume que el software pasa datos recibidos a través de una red directamente en código Outside In Technology, pero si los datos no se reciben a través de una red, la puntuación CVSS podría ser menor. CVSS 3.0 Base Score 7.1 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3231)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2018
Última modificación:
10/02/2019
Descripción:
Vulnerabilidad en el componente Oracle Outside In Technology de Oracle Fusion Middleware (subcomponente: Outside In Filters). Las versiones compatibles que se han visto afectadas son la 8.5.3 y la 8.5.4. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Outside In Technology. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a la capacidad no autorizada de provocar el bloqueo o cierre inesperado repetido (DoS completo) de Oracle Outside In Technology, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology. Nota: Outside In Technology es una suite de kits de desarrollo de software (SDK). La puntuación de protocolo y de CVSS depende del software que emplea el código Outside In Technology. La puntuación CVSS asume que el software pasa datos recibidos a través de una red directamente en código Outside In Technology, pero si los datos no se reciben a través de una red, la puntuación CVSS podría ser menor. CVSS 3.0 Base Score 7.1 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3232)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2018
Última modificación:
10/02/2019
Descripción:
Vulnerabilidad en el componente Oracle Outside In Technology de Oracle Fusion Middleware (subcomponente: Outside In Filters). Las versiones compatibles que se han visto afectadas son la 8.5.3 y la 8.5.4. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Outside In Technology. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a la capacidad no autorizada de provocar el bloqueo o cierre inesperado repetido (DoS completo) de Oracle Outside In Technology, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology. Nota: Outside In Technology es una suite de kits de desarrollo de software (SDK). La puntuación de protocolo y de CVSS depende del software que emplea el código Outside In Technology. La puntuación CVSS asume que el software pasa datos recibidos a través de una red directamente en código Outside In Technology, pero si los datos no se reciben a través de una red, la puntuación CVSS podría ser menor. CVSS 3.0 Base Score 7.1 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3233)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2018
Última modificación:
10/02/2019
Descripción:
Vulnerabilidad en el componente Oracle Outside In Technology de Oracle Fusion Middleware (subcomponente: Outside In Filters). Las versiones compatibles que se han visto afectadas son la 8.5.3 y la 8.5.4. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Outside In Technology. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a la capacidad no autorizada de provocar el bloqueo o cierre inesperado repetido (DoS completo) de Oracle Outside In Technology, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology. Nota: Outside In Technology es una suite de kits de desarrollo de software (SDK). La puntuación de protocolo y de CVSS depende del software que emplea el código Outside In Technology. La puntuación CVSS asume que el software pasa datos recibidos a través de una red directamente en código Outside In Technology, pero si los datos no se reciben a través de una red, la puntuación CVSS podría ser menor. CVSS 3.0 Base Score 7.1 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3234)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2018
Última modificación:
10/02/2019
Descripción:
Vulnerabilidad en el componente Oracle Outside In Technology de Oracle Fusion Middleware (subcomponente: Outside In Filters). Las versiones compatibles que se han visto afectadas son la 8.5.3 y la 8.5.4. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Outside In Technology. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a la capacidad no autorizada de provocar el bloqueo o cierre inesperado repetido (DoS completo) de Oracle Outside In Technology, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology. Nota: Outside In Technology es una suite de kits de desarrollo de software (SDK). La puntuación de protocolo y de CVSS depende del software que emplea el código Outside In Technology. La puntuación CVSS asume que el software pasa datos recibidos a través de una red directamente en código Outside In Technology, pero si los datos no se reciben a través de una red, la puntuación CVSS podría ser menor. CVSS 3.0 Base Score 7.1 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3302)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2018
Última modificación:
10/02/2019
Descripción:
Vulnerabilidad en el componente Oracle Outside In Technology de Oracle Fusion Middleware (subcomponente: Outside In Filters). Las versiones compatibles que se han visto afectadas son la 8.5.3 y la 8.5.4. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Outside In Technology. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a la capacidad no autorizada de provocar el bloqueo o cierre inesperado repetido (DoS completo) de Oracle Outside In Technology, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology. Nota: Outside In Technology es una suite de kits de desarrollo de software (SDK). La puntuación de protocolo y de CVSS depende del software que emplea el código Outside In Technology. La puntuación CVSS asume que el software pasa datos recibidos a través de una red directamente en código Outside In Technology, pero si los datos no se reciben a través de una red, la puntuación CVSS podría ser menor. CVSS 3.0 Base Score 7.1 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H).
Vulnerabilidad en Oracle Fusion Middleware (CVE-2018-3230)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2018
Última modificación:
10/02/2019
Descripción:
Vulnerabilidad en el componente Oracle Outside In Technology de Oracle Fusion Middleware (subcomponente: Outside In Filters). Las versiones compatibles que se han visto afectadas son la 8.5.3 y la 8.5.4. Una vulnerabilidad fácilmente explotable permite que un atacante sin autenticar que tenga acceso a red por HTTP comprometa la seguridad de Oracle Outside In Technology. Para que los ataques tengan éxito, se necesita la participación de otra persona diferente del atacante. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a la capacidad no autorizada de provocar el bloqueo o cierre inesperado repetido (DoS completo) de Oracle Outside In Technology, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology. Nota: Outside In Technology es una suite de kits de desarrollo de software (SDK). La puntuación de protocolo y de CVSS depende del software que emplea el código Outside In Technology. La puntuación CVSS asume que el software pasa datos recibidos a través de una red directamente en código Outside In Technology, pero si los datos no se reciben a través de una red, la puntuación CVSS podría ser menor. CVSS 3.0 Base Score 7.1 (Impactos de confidencialidad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H).
Vulnerabilidad en productos Snapdragon (CVE-2018-11267)
Gravedad:
HighHigh
Fecha publicación : 09/20/2018
Última modificación:
03/06/2019
Descripción:
En Snapdragon (Automobile, Mobile, Wear) in version MDM9206, MDM9607, MDM9615, MDM9640, MDM9650, MDM9655, MSM8996AU, SD 210/SD 212/SD 205, SD 410/12, SD 425, SD 427, SD 430, SD 435, SD 450, SD 600, SD 615/16/SD 415, SD 617, SD 625, SD 650/52, SD 820, SD 820A, SD 835, SD 845, SD 850, SDA660, SDM429, SDM439, SDM630, SDM632, SDM636, SDM660, SDX20 y Snapdragon_High_Med_2016, al enviar datos XML mal formados a deviceprogrammer/firehose se podría provocar una escritura al búfer fuera de límites, lo que permitiría que se escriba en una región de memoria con 0x20.
Vulnerabilidad en Open vSwitch (CVE-2018-17206)
Gravedad:
Medium Medium
Fecha publicación : 09/19/2018
Última modificación:
10/15/2020
Descripción:
Se ha descubierto un problema en Open vSwitch, en versiones 2.7.x hasta la 2.7.6. La función decode_bundle dentro de lib/ofp-actions.c se ve afectada por un problema de sobrelectura de búfer durante la decodificación de la acción BUNDLE.
Vulnerabilidad en Apache ActiveMQ Client (CVE-2018-11775)
Gravedad:
Medium Medium
Fecha publicación : 09/10/2018
Última modificación:
05/14/2020
Descripción:
Falta la verificación de nombres de host TLS al emplear Apache ActiveMQ Client en versiones anteriores a la 5.15.6, lo que podría hacer que el cliente sea vulnerable a un ataque Man-in-the-Middle (MitM) entre una aplicación Java que emplea el cliente ActiveMQ y el servidor ActiveMQ. Ahora está habilitado por defecto.
Vulnerabilidad en MIT krb5 (CVE-2018-5729)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2018
Última modificación:
01/21/2020
Descripción:
MIT krb5, en versiones 1.6 o posteriores, permite que un kadmin autenticado con permiso para añadir entidades de seguridad a una base de datos LDAP Kerberos provoque una denegación de servicio (desreferencia de puntero NULL) u omita una comprobación de contenedor DN proporcionando datos etiquetados internos del módulo de la base de datos.
Vulnerabilidad en MIT krb5 (CVE-2018-5730)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2018
Última modificación:
01/21/2020
Descripción:
MIT krb5, en versiones 1.6 o posteriores, permite que un kadmin autenticado con permiso para añadir entidades de seguridad a una base de datos LDAP Kerberos sortee una comprobación de containership DN proporcionando argumentos "linkdn" y "containerdn" de la base de datos, o proporcionando una cadena DN, que es una extensión a la izquierda de una cadena DN de contenedor pero que, jerárquicamente, no está dentro del contenedor DN.
Vulnerabilidad en Exempi (CVE-2018-7731)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2018
Última modificación:
10/26/2020
Descripción:
Se ha descubierto un problema en Exempi hasta su versión 2.4.4. XMPFiles/source/FormatSupport/WEBP_Support.cpp no comprueba si un bitstream tiene un valor NULL, lo que conduce a una desreferencia de puntero NULL en la clase WEBP::VP8XChunk.
Vulnerabilidad en Exempi (CVE-2018-7728)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2018
Última modificación:
10/26/2020
Descripción:
Se ha descubierto un problema en Exempi hasta su versión 2.4.4. XMPFiles/source/FileHandlers/TIFF_Handler.cpp gestiona de manera incorrecta un caso de longitud cero que conduce a una sobrelectura de búfer basada en memoria dinámica (heap) en la función MD5Update() en third-party/zuid/interfaces/MD5.cpp.
Vulnerabilidad en Exempi (CVE-2018-7729)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2018
Última modificación:
10/26/2020
Descripción:
Se ha descubierto un problema en Exempi hasta su versión 2.4.4. Hay una sobrelectura de búfer basada en pila en la función PostScript_MetaHandler::ParsePSFile() en XMPFiles/source/FileHandlers/PostScript_Handler.cpp.
Vulnerabilidad en Exempi (CVE-2018-7730)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2018
Última modificación:
10/26/2020
Descripción:
Se ha descubierto un problema en Exempi hasta su versión 2.4.4. Cierto caso de longitud 0xffffffff se gestiona de manera incorrecta en XMPFiles/source/FormatSupport/PSIR_FileWriter.cpp, lo que conduce a una sobrelectura de búfer basada en memoria dinámica (heap) en la función PSD_MetaHandler::CacheFileData().
Vulnerabilidad en systemd-tmpfile (CVE-2018-6954)
Gravedad:
HighHigh
Fecha publicación : 02/13/2018
Última modificación:
10/02/2019
Descripción:
systemd-tmpfiles en systemd, hasta 237, gestiona de manera incorrecta los vínculos simbólicos presentes en componentes de ruta no terminales. Esto permite que usuarios locales se hagan dueños de archivos arbitrarios mediante vectores relacionados con la creación de un directorio y un archivo bajo ese directorio para, posteriormente, reemplazarlo por un vínculo simbólico. Esto ocurre incluso aunque el sysctl fs.protected_symlinks esté activado.
Vulnerabilidad en la función futex_requeue en el kernel de Linux (CVE-2018-6927)
Gravedad:
Medium Medium
Fecha publicación : 02/12/2018
Última modificación:
03/06/2019
Descripción:
La función futex_requeue en kernel/futex.c en el kernel de Linux, en versiones anteriores a la 4.14.15, podría permitir que atacantes provoquen una denegación de servicio (desbordamiento de enteros) o que puedan causar otro tipo de impacto sin especificar desencadenando un valor wake o requeue negativo.
Vulnerabilidad en la función base64d en Exim (CVE-2018-6789)
Gravedad:
HighHigh
Fecha publicación : 02/08/2018
Última modificación:
03/06/2019
Descripción:
Se ha descubierto un problema en la función base64d en el escuchador SMTP en Exim, en versiones anteriores a la 4.90.1. Al enviar un mensaje manipulado, podría ocurrir un desbordamiento de búfer. Esto puede emplearse para ejecutar código de forma remota.
Vulnerabilidad en WavPack (CVE-2018-6767)
Gravedad:
Medium Medium
Fecha publicación : 02/06/2018
Última modificación:
12/20/2019
Descripción:
Una sobrelectura de búfer basada en pila en la función ParseRiffHeaderConfig del archivo cli/riff.c de WavPack 5.1.0 permite que un atacante remoto provoque un ataque de denegación de servicio (DoS) o posiblemente otro impacto no especificado mediante un archivo RF64 manipulado maliciosamente.
Vulnerabilidad en unbound (CVE-2017-15105)
Gravedad:
Medium Medium
Fecha publicación : 01/23/2018
Última modificación:
10/09/2019
Descripción:
Se ha encontrado un error en la forma en la que unbound, en versiones anteriores a la 1.6.8, validaba los registros NSEC sintetizados con caracteres comodín. Un registro con caracteres comodín NSEC validado incorrectamente podría emplearse para probar la falta (respuesta NXDOMAIN) de un registro de caracteres comodín, o engañar a unbound para que acepte una prueba NODATA.
Vulnerabilidad en PHP (CVE-2018-5712)
Gravedad:
Medium Medium
Fecha publicación : 01/16/2018
Última modificación:
08/19/2019
Descripción:
Se ha descubierto un problema en PHP en versiones anteriores a la 5.6.33, versiones 7.0.x anteriores a la 7.0.27, versiones 7.1.x anteriores a la 7.1.13 y versiones 7.2.x anteriores a la 7.2.1. Hay XSS reflejado en la página de error PHAR 404 mediante el URI de una petición de un archivo .phar.
Vulnerabilidad en GNOME gcab (CVE-2018-5345)
Gravedad:
Medium Medium
Fecha publicación : 01/11/2018
Última modificación:
08/24/2020
Descripción:
Atacantes maliciosos pueden explotar un desbordamiento de búfer basado en pila en GNOME gcab hasta la versión 0.7.4 para provocar un cierre inesperado o, potencialmente, ejecutar código arbitrario mediante un archivo .cab manipulado.
Vulnerabilidad en la interfaz de usuario de jQuery (CVE-2016-7103)
Gravedad:
Medium Medium
Fecha publicación : 03/15/2017
Última modificación:
06/15/2020
Descripción:
Vulnerabilidad de XSS en la interfaz de usuario de jQuery en versiones anteriores a 1.12.0 podría permitir a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro closeText de la función dialog.
Vulnerabilidad en la utilidad cjpeg en libjpeg (CVE-2016-3616)
Gravedad:
Medium Medium
Fecha publicación : 02/13/2017
Última modificación:
08/06/2019
Descripción:
La utilidad cjpeg en libjpeg permite a atacantes remotos provocar una denegación de servicio (referencia a puntero NULL y caída de aplicación) o ejecutar código arbitrario a través de un archivo manipulado.
Vulnerabilidad en Mediaserver en Android (CVE-2016-6714)
Gravedad:
HighHigh
Fecha publicación : 11/25/2016
Última modificación:
03/06/2019
Descripción:
Una vulnerabilidad de denegación de servicio remota en Mediaserver en Android 6.x en versiones anteriores a 01-11-2016 y 7.0 en versiones anteriores a 01-11-2016 podría habilitar a un atacante a usar un archivo especialmente manipulado para provocar un colgado de dispositivo o reinicio. Este problema está clasificado como High debido a la posibilidad de una denegación de servicio remota. Android ID: A-31092462.
Vulnerabilidad en Mediaserver en Android (CVE-2016-6713)
Gravedad:
HighHigh
Fecha publicación : 11/25/2016
Última modificación:
03/06/2019
Descripción:
Una vulnerabilidad de denegación de servicio remota en Mediaserver en Android 6.x en versiones anteriores a 01-11-2016 y 7.0 en versiones anteriores a 01-11-2016 podría habilitar a un atacante a usar un archivo especialmente manipulado para provocar un colgado de dispositivo o reinicio. Este problema está clasificado como High debido a la posibilidad de una denegación de servicio remota. Android ID: A-30822755.
Vulnerabilidad en jquery.ui.dialog.js en jQuery UI (CVE-2010-5312)
Gravedad:
Medium Medium
Fecha publicación : 11/24/2014
Última modificación:
04/16/2019
Descripción:
Vulnerabilidad de XSS en jquery.ui.dialog.js en el widget Dialog en jQuery UI anterior a 1.10.0 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de la opción del título.
Vulnerabilidad en Xpdf (CVE-2011-1554)
Gravedad:
Medium Medium
Fecha publicación : 03/31/2011
Última modificación:
03/06/2019
Descripción:
Error Off-by-one en t1lib v5.1.2 y anteriores, como se usaba en Xpdf anterior a v3.02pl6 y otros productos, permite a atacantes remotos provocar una denegación de servicio (caída de la aplicación) a través de un documento PDF que contiene una fuente manipulada Tipo 1 y que provoca una lectura incorrecta de memoria, un desbordamiento de entero, y una desreferencia inválida a puntero, una vulnerabilidad diferente de CVE-2011-0764.
Vulnerabilidad en Xpdf (CVE-2011-1553)
Gravedad:
Medium Medium
Fecha publicación : 03/31/2011
Última modificación:
03/06/2019
Descripción:
Vulnerabilidad liberar después de usar (use-after-free) en t1lib v5.1.2 y anteriores, utilizado en Xpdf anterior a v3.02pl6 y otros productos, permite a atacantes remotos provocar una denegación de servicio (caída de la aplicación) mediante un documento PDF con una fuente Typo 1, generando una escritura inválida en memoria, una vulnerabilidad diferente a CVE-2011-0764.
Vulnerabilidad en Xpdf (CVE-2011-1552)
Gravedad:
Medium Medium
Fecha publicación : 03/31/2011
Última modificación:
03/06/2019
Descripción:
t1lib v5.1.2 y versiones anteriores, utilizando en Xpdf anterior a v3.02pl6 y otros productos, realiza lecturas desde posiciones de memoria inválidas, permitiendo a atacantes remotos provocar una denegación de servicio (caída de la aplicación) a través de una fuente Tipo 1 en un documento PDF, un vulnerabilidad diferente a CVE-2011-0764.
Vulnerabilidad en Xpdf (CVE-2011-0764)
Gravedad:
Medium Medium
Fecha publicación : 03/31/2011
Última modificación:
03/06/2019
Descripción:
t1lib v5.1.2 y versiones anteriores, utilizado en Xpdf anterior a v3.02pl6 y otros productos, utiliza un puntero no válido en una operación de eliminación de referencias, permitiendo a atacantes remotos ejecutar código arbitrario a través de un fuente Tipo 1 manipulada en un documento PDF, como lo demuestra el testz.2184122398.pdf
Vulnerabilidad en función FoFiType1::parse en fofiFoFiType1.cc del parseador de PDF de xpd (CVE-2010-3704)
Gravedad:
Medium Medium
Fecha publicación : 11/05/2010
Última modificación:
03/06/2019
Descripción:
La función FoFiType1::parse en fofi/FoFiType1.cc del parseador de PDF de xpdf antes de v3.02pl5, poppler v0.8.7 y posiblemente otras versiones hasta v0.15.1, kdegraphics, y posiblemente otros productos, permite a atacantes dependientes del contexto provocar una denegación de servicio (caída de la aplicación) y posiblemente ejecutar código arbitrario mediante un archivo PDF con una fuente Type1 modificada que contiene un índice de matriz negativo, el cual se salta la validación de entrada y que provoca una corrupción de memoria.
Vulnerabilidad en función Gfx::getPos en el analizador PDF en Xpdf, Poppler, CUPS, kdegraphics, y posiblemente otros productos (CVE-2010-3702)
Gravedad:
Medium Medium
Fecha publicación : 11/05/2010
Última modificación:
03/06/2019
Descripción:
La función Gfx::getPos en el analizador PDF en Xpdf versión anterior a 3.02 PL5, Poppler versión 0.8.7 y posiblemente otras versiones hasta la 0.15.1, CUPS, kdegraphics, y posiblemente otros productos permite que los atacantes dependiendo del contexto generen una denegación de servicio (bloqueo) por medio de vectores desconocidos que desencadenan una desreferencia de puntero no inicializada.
Vulnerabilidad en la función Splash.cc en Xpdf y Poppler (CVE-2009-3604)
Gravedad:
HighHigh
Fecha publicación : 10/21/2009
Última modificación:
03/06/2019
Descripción:
Desbordamiento de entero en la función Splash.cc en Xpdf v3.02pl4 y Poppler v0.x, usado en n kdegraphics KPDF y GPdf, no asigna la memoria adecuadamente, lo que permite a atacantes remotos provocar una denegación de servicio (caída de aplicación) y probablemente, la ejecución de código de su elección a través de un documento PDF manipulado que provoca un deferencia a puntero nulo o un desbordamiento de búfer basado en memoria dinámica (heap).
Vulnerabilidad en la función ObjectStream::ObjectStream en XRef.cc en Xpdf y Poppler (CVE-2009-3608)
Gravedad:
HighHigh
Fecha publicación : 10/21/2009
Última modificación:
03/06/2019
Descripción:
Desbordamiento de entero en la función ObjectStream::ObjectStream en XRef.cc en Xpdf y Poppler, usado en GPdf, kdegraphics KPDF, y CUPS pdftopf y teTeX, podría permitir a atacantes remotos ejecutar código de su elección a través de un documento PDF manipulado que provoca un desbordamiento de búfer basado en memoria dinámica (heap).
Vulnerabilidad en la función SplashBitmap::SplashBitmap en Xpdf v3.02pl4 y Poppler (CVE-2009-3603)
Gravedad:
HighHigh
Fecha publicación : 10/21/2009
Última modificación:
03/06/2019
Descripción:
Desbordamiento de entero en la función SplashBitmap::SplashBitmap en Xpdf v3.x anterior a v3.02pl4 y Poppler anteior a v0.12.1, podría permitir a atacantes remotos la ejecución de código de su elección a través de un documento PDF manipulado que provoca un un desbordamiento de búfer basado en memoria dinámica (heap). NOTA: algunos detalles han sido obtenidos a partir de información de terceros. Esta vulnerabilidad existe por un corrección incompleta de CVE-2009-1188.
Vulnerabilidad en la función PSOutputDev::doImageL1Sep en Xpdf y Poppler (CVE-2009-3606)
Gravedad:
HighHigh
Fecha publicación : 10/21/2009
Última modificación:
03/06/2019
Descripción:
Desbordamiento de entero en la función PSOutputDev::doImageL1Sep en Xpdf v3.02pl4 y Poppler v0.x, usado en n kdegraphics KPDF, podría permitir a atacantes remotos la ejecución de código de su elección a través de un documento PDF manipulado que provoca un desbordamiento de búfer basado en memoria dinámica (heap).
Vulnerabilidad en la función ImageStream::ImageStream en Stream.cc en Xpdf y Poppler (CVE-2009-3609)
Gravedad:
Medium Medium
Fecha publicación : 10/21/2009
Última modificación:
03/06/2019
Descripción:
Desbordamiento de entero en la función ImageStream::ImageStream en Stream.cc en Xpdf v3.02pl4 y Poppler v0.12.1, usado en GPdf, kdegraphics KPDF, y CUPS pdftops, permite a atacantes remotsos provocar una denegación de servicio (caída de aplicación) a través de un documento PDF manipulado que provoca un deferencia a puntero nulo o un desbordamiento de búfer fuera del límite (over-read).
Vulnerabilidad en JBIG2 en Xpdf Poppler (CVE-2009-0165)
Gravedad:
HighHigh
Fecha publicación : 04/23/2009
Última modificación:
03/06/2019
Descripción:
Desbordamiento de entero en el decodificador JBIG2 en Xpdf v3.02p12 y anteriores, como se utiliza en Poppler y otros productos, cuando corre en Mac OS X, tiene un impacto desconocido, relacionado con "g*allocn."
Vulnerabilidad en JBIG2 en Xpdf (CVE-2009-0146)
Gravedad:
Medium Medium
Fecha publicación : 04/23/2009
Última modificación:
03/06/2019
Descripción:
Múltiples desbordamientos del búfer en el decodificador JBIG2 en Xpdf versión 3.02 PL2 y anteriores, CUPS versión 1.3.9 y anteriores, y otros productos permiten a los atacantes remotos causar una denegación de servicio (bloqueo) por medio de un archivo PDF creado, relacionado a (1) JBIG2SymbolDict::setBitmap y (2) JBIG2Stream::readSymbolDictSeg.
Vulnerabilidad en decodificador JBIG2 MMR en Xpdf, CUPS, Poppler y otros productos de Apple (CVE-2009-1182)
Gravedad:
HighHigh
Fecha publicación : 04/23/2009
Última modificación:
03/06/2019
Descripción:
Múltiples desbordamientos del búfer en el decodificador JBIG2 MMR en Xpdf versión 3.02 PL2 y anteriores, CUPS versión 1.3.9 y anteriores, Poppler versión anterior a 0.10.6, y otros productos, permiten a los atacantes remotos ejecutar código arbitrario por medio de un archivo PDF creado.
Vulnerabilidad en decodificador JBIG2 en Xpdf, CUPS, Poppler, y otros productos de Apple (CVE-2009-0800)
Gravedad:
Medium Medium
Fecha publicación : 04/23/2009
Última modificación:
03/06/2019
Descripción:
Múltiples "Input validation flaws" en el decodificador JBIG2 en Xpdf versión 3.02 PL2 y anteriores, CUPS versión 1.3.9 y anteriores, Poppler versión anterior a 0.10.6, y otros productos permiten a los atacantes remotos ejecutar código arbitrario por medio de un archivo PDF creado
Vulnerabilidad en decodificador JBIG2 MMR en Xpdf, CUPS, Poppler, y otros productos de Apple (CVE-2009-1183)
Gravedad:
Medium Medium
Fecha publicación : 04/23/2009
Última modificación:
03/06/2019
Descripción:
El decodificador JBIG2 MMR en Xpdf versión 3.02 PL2 y anteriores, CUPS versión 1.3.9 y anteriores, Poppler versión anterior a 0.10.6, y otros productos permite a los atacantes remotos causar una denegación de servicio (bucle infinito y colgar) por medio de un archivo PDF creado.
Vulnerabilidad en decodificador JBIG2 en Xpdf, CUPS, Poppler, y otros productos de Apple (CVE-2009-1181)
Gravedad:
Medium Medium
Fecha publicación : 04/23/2009
Última modificación:
03/06/2019
Descripción:
El decodificador JBIG2 en Xpdf versión 3.02 PL2 y anteriores, CUPS versión 1.3.9 y anteriores, Poppler versión anterior a 0.10.6, y otros productos, permite a los atacantes remotos causar una denegación de servicio (bloqueo) por medio de un archivo PDF creado que desencadena una desreferencia de puntero NULL.
Vulnerabilidad en decodificador JBIG2 en Xpdf, CUPS, Poppler, y otros productos de Apple (CVE-2009-1180)
Gravedad:
Medium Medium
Fecha publicación : 04/23/2009
Última modificación:
03/06/2019
Descripción:
El decodificador JBIG2 en Xpdf versión 3.02 PL2 y anteriores, CUPS versión 1.3.9 y anteriores, Poppler versión anterior a 0.10.6, y otros productos, permite a los atacantes remotos ejecutar código arbitrario por medio de un archivo PDF creado que desencadena una liberación de datos no válidos.
Vulnerabilidad en decodificador JBIG2 en Xpdf, CUPS, Poppler, y otros productos de Apple (CVE-2009-1179)
Gravedad:
Medium Medium
Fecha publicación : 04/23/2009
Última modificación:
03/06/2019
Descripción:
Desbordamiento de enteros en el decodificador JBIG2 en Xpdf versión 3.02 PL2 y anteriores, CUPS versión 1.3.9 y anteriores, Poppler versión anterior a 0.10.6, y otros productos permite a los atacantes remotos ejecutar código arbitrario por medio de un archivo PDF creado.
Vulnerabilidad en decodificador JBIG2 en Xpdf, CUPS, Poppler, y otros productos de Apple (CVE-2009-0799)
Gravedad:
Medium Medium
Fecha publicación : 04/23/2009
Última modificación:
03/06/2019
Descripción:
El decodificador JBIG2 en Xpdf versión 3.02 PL2 y anteriores, CUPS versión 1.3.9 y anteriores, Poppler versión anterior a 0.10.6, y otros productos permite a los atacantes remotos causar una denegación de servicio (bloqueo) por medio de un archivo PDF creado que desencadena una vulnerabilidad de lectura fuera de límites.
Vulnerabilidad en CUPS en Xpdf (CVE-2009-0195)
Gravedad:
Medium Medium
Fecha publicación : 04/23/2009
Última modificación:
03/06/2019
Descripción:
Desbordamiento de búfer basado en montículo en Xpdf v3.02p12 y anteriores, CUPS v1.3.9 y probablemente otros productos, permite a atacantes remotos ejecutar código de forma arbitraria a través de un fichero PDF con segmentos JBIG2 de diccionario simbólico manipulados.
Vulnerabilidad en decodificador JBIG2 en Xpdf, CUPS, y otros productos de Apple (CVE-2009-0166)
Gravedad:
Medium Medium
Fecha publicación : 04/23/2009
Última modificación:
03/06/2019
Descripción:
El decodificador JBIG2 en Xpdf versión 3.02 PL2 y anteriores, CUPS versión 1.3.9 y anteriores, y otros productos permite a los atacantes remotos causar una denegación de servicio (bloqueo) por medio de un archivo PDF creado que desencadena una liberación de memoria no inicializada.
Vulnerabilidad en decodificador JBIG2 en Xpdf, CUPS, y otros productos de Apple (CVE-2009-0147)
Gravedad:
Medium Medium
Fecha publicación : 04/23/2009
Última modificación:
03/06/2019
Descripción:
Múltiples desbordamientos enteros en el decodificador JBIG2 en Xpdf versión 3.02 PL2 y anteriores, CUPS versión 1.3.9 y anterior, y otros productos permiten a los atacantes remotos causar una denegación de servicio (bloqueo) por medio de un archivo PDF creado, relacionado a (1) JBIG2Stream::readSymbolDictSeg, (2) JBIG2Stream::readSymbolDictSeg y (3) JBIG2Stream::readGenericBitmap.
Vulnerabilidad en Gentoo de Xpdf (CVE-2009-1144)
Gravedad:
Medium Medium
Fecha publicación : 04/09/2009
Última modificación:
03/06/2019
Descripción:
Vulnerabilidad de ruta de búsqueda no confiable en el paquete Gentoo de Xpdf anteriores a v3.02-r2, permite a usuarios locales obtener privilegios a través de un troyano (fichero xpdfrc) en el directorio de trabajo actual, relativo a la macro SYSTEM_XPDFRC no fijada en el proceso de construcción Gentoo, que usa la biblioteca poppler.