Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en eBrigade (CVE-2019-9622)
Gravedad:
Medium Medium
Fecha publicación : 03/07/2019
Última modificación:
03/07/2019
Descripción:
eBrigade, hasta la versión 4.5, permite la descarga de archivos arbitraria mediante un salto de directorio ../ en el parámetro de archivo showfile.php, tal y como queda demostrado con la lectura del archivo user-data/save/backup.sql.
Vulnerabilidad en Feng Office (CVE-2019-9623)
Gravedad:
HighHigh
Fecha publicación : 03/07/2019
Última modificación:
03/07/2019
Descripción:
La versión 3.7.0.5 de Feng Office permite a los atacantes remotos ejecutar código arbitrario mediante "
Vulnerabilidad en Webmin (CVE-2019-9624)
Gravedad:
Medium Medium
Fecha publicación : 03/07/2019
Última modificación:
04/03/2019
Descripción:
Webmin 1.900 permite a los atacantes remotos ejecutar código arbitrario, aprovechando los privilegios "Java file manager" y "Upload and Download" para subir un archivo .cgi manipulado mediante el URI /updown/upload.cgi.
Vulnerabilidad en Cisco Nexus Fabric Switches (CVE-2019-1591)
Gravedad:
HighHigh
Fecha publicación : 03/06/2019
Última modificación:
10/09/2019
Descripción:
Una vulnerabilidad en la implementación de un comando de la interfaz de la línea de comandos (CLI) específico de Cisco Nexus 9000 Series ACI Mode Switch Software podría permitir a un atacante local autenticado escapar de un shell restringido en un dispositivo afectado. Esta vulnerabilidad se debe a un saneamiento insuficiente de entradas proporcionadas por el usuario al enviar un comando de CLI específico con parámetros en un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad autenticándose en el CLI del dispositivo y enviando determinados comandos. Un exploit con éxito podría permitir que el atacante escape del shell restringido y ejecute comandos arbitrarios con privilegios root en el dispositivo afectado. Esta vulnerabilidad solo afecta a Cisco Nexus 9000 Series ACI Mode Switches que estén ejecutando una distribución anterior a la 14.0(3d).
Vulnerabilidad en el software NX-OS de Cisco (CVE-2019-1593)
Gravedad:
HighHigh
Fecha publicación : 03/06/2019
Última modificación:
10/09/2019
Descripción:
Una vulnerabilidad en la implementación shell "Bash" del software Cisco NX-OS podría permitir a un atacante local autenticado para escalar su nivel de privilegios ejecutando comandos autorizados a otros roles de usuario. El atacante deberá autenticarse con credenciales de usuario válidas. Esta vulnerabilidad de debe a la implementación de un comando shell "Bash" incorrecta que permite que el control de acceso basado en roles (RBAC) se omita. Un atacante podría explotar esta vulnerabilidad autenticándose en el dispositivo e introduciendo un comando manipulado en el aviso Bash. Una explotación exitosa podría permitir al atacante escalar su nivel de privilegios, ejecutando comandos que deberían estar restringidos a otros roles. Por ejemplo, un usuario dev-ops podría escalar su nivel de privilegios al del administrador con una explotación exitosa de esta vulnerabilidad.
Vulnerabilidad en el software NX-OS de Cisco (CVE-2019-1594)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
10/09/2019
Descripción:
Una vulnerabilidad en la implementación 802.X en el software NX-OS de Cisco podría permitir a un atacante adyacente sin autenticar provocar una condición de denegación de servicio (DoS) en un dispositivo afectado. La vulnerabilidad se debe a la validación incompleta del protocolo de autenticación extensible sobre tramas LAN (EAPOL). Un atacante podría explotarla enviando una trama EAPOL manipulada a una interfaz el dispositivo objetivo. Su explotación con éxito podría permitir que el atacante provoque el proceso de reenvío de la Capa 2 (L2) se reinicie múltiples veces, conduciendo al reinicio del sistema operativo del dispositivo y una condición de denegación de servicio (DoS). Nota: Esta vulnerabilidad solo afecta a los dispositivos NX-OS que estén configurados con la funcionalidad 802.1X. El switch de Cisco Nexus 1000V para los dispositivos de VMware vSphere se ve afectado en versiones anteriores a la 5.2(1)SV3(1.4b). Los switches de Nexus 3000 Series se ven afectados en versiones anteriores a la 7.0(3)I7(4). Los switches de Nexus 3500 Platform se ven afectados en versiones anteriores a la 7.0(3)I7(4). Los switches de Nexus, en sus series 2000, 5500, 5600 y 6000, se ven afectados en versiones anteriores a las 7.3(5)N1(1) y 7.1(5)N1(1b). Los switches de Nexus, en sus series 7000 y 7700, se ven afectados en versiones anteriores a la 8.2(3). Las versiones anteriores a la 13.2(1l) de Nexus 9000 Series Fabric Switches, en modo ACI, se ven afectadas. Las versiones anteriores a la 70(3)I7(4) de Nexus 9000 Series Switches, en modo NX-OS, se ven afectadas.
Vulnerabilidad en el software NX-OS de Cisco (CVE-2019-1595)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
10/09/2019
Descripción:
Una vulnerabilidad en la implementación del protocolo Fibre Channel over Ethernet (FCoE) en el software NX-OS de Cisco podría permitir a un atacante adyacente sin autenticar provocar una condición de denegación de servicio (DoS) en un dispositivo afectado. Esta vulnerabilidad se debe a una asignación incorrecta de un índice de interfaz interno. Un atacante adyacente capacitado para enviar un paquete FCoE manipulado que cruzase las interfaces afectadas podría provocar esta vulnerabilidad. Si se explota esta vulnerabilidad con éxito, un atacante podría provocar un bucle de paquete y un throughput alto en los dispositivos afectados, conduciendo a una condición DoS. Esta vulnerabilidad se ha solucionado en la versión 7.3(5)N1(1).
Vulnerabilidad en PHP Scripts Mall Personal Video Collection Script (CVE-2019-9606)
Gravedad:
LowLow
Fecha publicación : 03/06/2019
Última modificación:
03/07/2019
Descripción:
PHP Scripts Mall Personal Video Collection Script 4.0.4 tiene XSS persistente mediante una funcionalidad "Update profile".
Vulnerabilidad en PHP Scripts Mall Medical Store Script (CVE-2019-9607)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
03/07/2019
Descripción:
PHP Scripts Mall Medical Store Script, en su versión 3.0.3, permite un salto de directorio navegando al directorio padre de un archivo jpg o png.
Vulnerabilidad en Cisco Nexus Fabric Switches (CVE-2019-1588)
Gravedad:
LowLow
Fecha publicación : 03/06/2019
Última modificación:
10/09/2019
Descripción:
Una vulnerabilidad en Cisco Nexus 9000 Series Fabric Switches que se ejecuta en el modo Application-Centric Infrastructure (ACI) podría permitir a un atacante local autenticado leer archivos arbitrarios en un dispositivo afectado. Esta vulnerabilidad se debe a la falta de una comprobación de entradas y validación correcta, verificando los mecanismos de las entradas proporcionadas por el usuario que se envían a un dispositivo afectado. Un exploit exitoso podría permitir que el atacante lea archivos arbitrarios en el dispositivo afectado. Esta vulnerabilidad se ha solucionado en la versión 14.0(1h).
Vulnerabilidad en IBM DOORS Next Generation (CVE-2018-1911)
Gravedad:
LowLow
Fecha publicación : 03/06/2019
Última modificación:
10/09/2019
Descripción:
IBM DOORS Next Generation (DNG/RRC), desde la versión 5.0 hasta la 5.0.2 y desde la 6.0 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 152735.
Vulnerabilidad en IBM DOORS Next Generation (CVE-2018-1912)
Gravedad:
LowLow
Fecha publicación : 03/06/2019
Última modificación:
10/09/2019
Descripción:
IBM DOORS Next Generation (DNG/RRC), desde la versión 6.02 hasta la 6.0.6, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 152736.
Vulnerabilidad en IBM WebSphere Application Server (CVE-2019-4030)
Gravedad:
LowLow
Fecha publicación : 03/06/2019
Última modificación:
10/09/2019
Descripción:
IBM WebSphere Application Server, en sus versiones 8.5 y 9.0, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 155946.
Vulnerabilidad en MiniCMS (CVE-2019-9603)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
03/07/2019
Descripción:
La versión 1.10 de MiniCMS permite Cross-Site Request Forgery (CSRF) en mc-admin/post.php?state=publishdelete= para borrar artículos. Es una vulnerabilidad diferente de CVE-2018-18891.
Vulnerabilidad en Apache Qpid Broker-J (CVE-2019-0200)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
03/07/2019
Descripción:
Se ha detectado una vulnerabilidad de denegación de servicio (DoS) en Apache Qpid Broker-J, desde la versión 6.0.0 hasta la 7.0.6 (inclusivas) y en la 7.10, que permite a un atacante no autenticado forzar el cierre de la instancia broker, enviando comandos especialmente manipulados mediante el protocolo AMQP en versiones anteriores a la 1.0 (AMQP 0-8, 0-9, 0-91 y 0-10). Los usuarios de Apache Qpid Broker-J, desde la versión 6.0.0 hasta la 7.0.6 (inclusivas) y en la 7.1.0, utilizando los protocolos AMQP 0-8, 0-9, 0-91, 0-10 deberán actualizar a las versiones de Qpid Broker-J 7.0.7 o 7.1.1 y posteriores.
Vulnerabilidad en la aplicación AirDroid (CVE-2019-9599)
Gravedad:
HighHigh
Fecha publicación : 03/06/2019
Última modificación:
03/07/2019
Descripción:
La aplicación AirDroid, hasta la versión 4.2.1.6 para Android, permite a los atacantes remotos provocar una denegación de servicio (cierre inesperado del servicio) mediante múltiples peticiones sdctl/comm/lite_auth/ simultáneas.
Vulnerabilidad en Olive Tree FTP Server (CVE-2019-9600)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
03/07/2019
Descripción:
La aplicación Olive Tree FTP Server (también conocida como com.theolivetree.ftpserver), hasta la versión 1.32 para Android, permite a los atacantes remotos provocar una denegación de servicio (DoS) y dejar determinados paquetes.
Vulnerabilidad en JMeter (CVE-2019-0187)
Gravedad:
HighHigh
Fecha publicación : 03/06/2019
Última modificación:
03/07/2019
Descripción:
La ejecución remota de código (RCE) autenticada es posible cuando JMeter se utiliza en su modo de distribución (en las opciones de línea de comando -r o -R). Un atacante puede establecer una conexión RMI a un servidor jmeter utilizando RemoteJMeterEngine y proceder con un ataque mediante el uso de una deserialización de datos no confiable. Esto solo afecta a la pruebas en ejecución en el modo distribuido. Nótese que las versiones anteriores a la 4.0 no son capaces de cifrar el tráfico entre los nodos ni de identificar los nodos que participan, por lo que se aconseja actualizar a JMeter 5.1.
Vulnerabilidad en dispositivos de TENGCONTROL T-920 PLC (CVE-2019-9590)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
03/07/2019
Descripción:
Se ha descubierto un problema en dispositivos de TENGCONTROL T-920 PLC v5.5. Permite a los atacantes remotos provocar una denegación de servicio (modo de fallo persistente) enviando una serie de peticiones \x19\xb2\x00\x00\x00\x06\x43\x01\x00\xac\xff\x00 (también conocidas como UID 0x43) al puerto TCP 502.
Vulnerabilidad en ShoreTel Connect ONSITE (CVE-2019-9591)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
04/08/2019
Descripción:
Una vulnerabilidad de Cross-Site Scripting (XSS) en ShoreTel Connect ONSITE, en versiones anteriores a la 19.49.1500.0, permite a los atacantes remotos inyectar scripts web o HTML arbitrarios mediante el parámetro brandUrl.
Vulnerabilidad en ShoreTel Connect ONSITE (CVE-2019-9592)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
04/08/2019
Descripción:
Una vulnerabilidad de Cross-Site Scripting (XSS) en ShoreTel Connect ONSITE 19.45.1602.0 permite a los atacantes remotos inyectar scripts web o HTML arbitrarios mediante el parámetro url.
Vulnerabilidad en ShoreTel Connect ONSITE (CVE-2019-9593)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
04/08/2019
Descripción:
Una vulnerabilidad de Cross-Site Scripting (XSS) en ShoreTel Connect ONSITE 18.82.2000.0 permite a los atacantes remotos inyectar scripts web o HTML arbitrarios mediante el parámetro page.
Vulnerabilidad en BlueCMS (CVE-2019-9594)
Gravedad:
HighHigh
Fecha publicación : 03/06/2019
Última modificación:
03/07/2019
Descripción:
BlueCMS, en su versión 1.6, permite una inyección SQL mediante el parámetro user_id en una petición uploads/admin/user.php?act=edit.
Vulnerabilidad en AppCMS (CVE-2019-9595)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
03/06/2019
Descripción:
AppCMS, en su versión 2.0.101, permite Cross-Site Scripting (XSS) mediante el parámetro params en upload/callback.php.
Vulnerabilidad en samba (CVE-2019-3824)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
04/05/2019
Descripción:
Se ha detectado un fallo en la manera en la que una expresión de búsqueda LDAP podría provocar el cierre inesperado del proceso del servidor LDAP de un AD DC de samba en samba en versiones anteriores a la 4.10. Un usuario autenticado con permisos de lectura en el servidor LDAP podría aprovechar este fallo para provocar una denegación de servicio (DoS).
Vulnerabilidad en Xpdf (CVE-2019-9587)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
03/06/2019
Descripción:
En la versión 4.01 de Xpdf, hay un fallo del consumo de pila en md5Round1() en Decrypt.cc. Puede desencadenarse mediante el envío de un archivo pdf manipulado a, por ejemplo, el binario pdfimages. Permite a un atacante provocar una denegación de servicio (fallo de segmentación) o tener otro impacto no especificado. Esto está relacionado con Catalog::countPageTree.
Vulnerabilidad en Xpdf (CVE-2019-9588)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
03/06/2019
Descripción:
En la versión 4.01 de Xpdf, hay un acceso de memoria inválida en gAtomicIncrement() en GMutex.h Puede desencadenarse mediante el envío de un archivo pdf manipulado a, por ejemplo, el binario pdftops. Permite a un atacante provocar una denegación de servicio (fallo de segmentación) o tener otro impacto no especificado.
Vulnerabilidad en Xpdf (CVE-2019-9589)
Gravedad:
Medium Medium
Fecha publicación : 03/06/2019
Última modificación:
03/06/2019
Descripción:
En la versión 4.01 de Xpdf, hay una vulnerabilidad de desreferencia de puntero NULL en PSOutputDev::setupResources() en PSOutputDev.cc. Puede desencadenarse mediante el envío de un archivo pdf manipulado a, por ejemplo, el binario pdftops. Permite a un atacante provocar una denegación de servicio (fallo de segmentación) o tener otro impacto no especificado.
Vulnerabilidad en phpscheduleit Booked Scheduler (CVE-2019-9581)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
phpscheduleit Booked Scheduler 2.7.5 permite la subida de archivos arbitrarios mediante el campo Favicon, lo que conduce a la ejecución de código PHP arbitrario en Web/custom-favicon.php. Esto se debe a que Presenters/Admin/ManageThemePresenter.php no asegura una extensión de archivo de imagen.
Vulnerabilidad en Microsoft Office (CVE-2019-0540)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Existe una vulnerabilidad de omisión de la característica de seguridad cuando Microsoft Office no valida las URL. Un atacante podría enviar un archivo especialmente manipulado a una víctima, lo que podría engañarlo para que introduzca sus credenciales. Esto también se conoce como "Microsoft Office Security Feature Bypass Vulnerability".
Vulnerabilidad en Microsoft Edge (CVE-2019-0590)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0591, CVE-2019-0593, CVE-2019-0605, CVE-2019-0607, CVE-2019-0610, CVE-2019-0640, CVE-2019-0642, CVE-2019-0644, CVE-2019-0651, CVE-2019-0652 y CVE-2019-0655.
Vulnerabilidad en Microsoft Edge (CVE-2019-0591)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0590, CVE-2019-0593, CVE-2019-0605, CVE-2019-0607, CVE-2019-0610, CVE-2019-0640, CVE-2019-0642, CVE-2019-0644, CVE-2019-0651, CVE-2019-0652 y CVE-2019-0655.
Vulnerabilidad en Microsoft Edge (CVE-2019-0593)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0590, CVE-2019-0591, CVE-2019-0605, CVE-2019-0607, CVE-2019-0610, CVE-2019-0640, CVE-2019-0642, CVE-2019-0644, CVE-2019-0651, CVE-2019-0652 y CVE-2019-0655.
Vulnerabilidad en Microsoft SharePoint (CVE-2019-0594)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
06/10/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código en Microsoft SharePoint cuando el software no comprueba el marcado de origen de un paquete de una aplicación. Esto también se conoce como "Microsoft SharePoint Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0604.
Vulnerabilidad en el motor de Windows Jet Database (CVE-2019-0595)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
07/24/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando el motor de Windows Jet Database gestiona indebidamente los objetos en la memoria. Esto también se conoce como "Windows VBScript Engine Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0596, CVE-2019-0597, CVE-2019-0598, CVE-2019-0599 y CVE-2019-0625.
Vulnerabilidad en el motor de Windows Jet Database (CVE-2019-0596)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
05/08/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando el motor de Windows Jet Database gestiona indebidamente los objetos en la memoria. Esto también se conoce como "Windows VBScript Engine Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0595, CVE-2019-0597, CVE-2019-0598, CVE-2019-0599 y CVE-2019-0625.
Vulnerabilidad en el motor de Windows Jet Database (CVE-2019-0597)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
05/08/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando el motor de Windows Jet Database gestiona indebidamente los objetos en la memoria. Esto también se conoce como "Windows VBScript Engine Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0595, CVE-2019-0596, CVE-2019-0598, CVE-2019-0599 y CVE-2019-0625.
Vulnerabilidad en el motor de Windows Jet Database (CVE-2019-0598)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
05/08/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando el motor de Windows Jet Database gestiona indebidamente los objetos en la memoria. Esto también se conoce como "Windows VBScript Engine Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0595, CVE-2019-0596, CVE-2019-0597, CVE-2019-0599 y CVE-2019-0625.
Vulnerabilidad en el motor de Windows Jet Database (CVE-2019-0599)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
05/08/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando el motor de Windows Jet Database gestiona indebidamente los objetos en la memoria. Esto también se conoce como "Windows VBScript Engine Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0595, CVE-2019-0596, CVE-2019-0597, CVE-2019-0598 y CVE-2019-0625.
Vulnerabilidad en el componente HID (CVE-2019-0600)
Gravedad:
LowLow
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el componente de "Human Interface Devices" (HID) gestiona los objetos en memoria de manera incorrecta. Esto también se conoce como "HID Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2019-0601.
Vulnerabilidad en el componente HID (CVE-2019-0601)
Gravedad:
LowLow
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el componente de "Human Interface Devices" (HID) gestiona los objetos en memoria de manera incorrecta. Esto también se conoce como "HID Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2019-0600.
Vulnerabilidad en el componente GDI de Windows (CVE-2019-0602)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el componente Windows GDI no muestra correctamente los contenidos de su memoria. Esto también se conoce como "Windows GDI Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2019-0615, CVE-2019-0616, CVE-2019-0619, CVE-2019-0660 y CVE-2019-0664.
Vulnerabilidad en Microsoft SharePoint (CVE-2019-0604)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
12/13/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código en Microsoft SharePoint cuando el software no comprueba el marcado de origen de un paquete de una aplicación. Esto también se conoce como "Microsoft SharePoint Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0594.
Vulnerabilidad en Microsoft Edge (CVE-2019-0605)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0590, CVE-2019-0591, CVE-2019-0593, CVE-2019-0607, CVE-2019-0610, CVE-2019-0640, CVE-2019-0642, CVE-2019-0644, CVE-2019-0651, CVE-2019-0652 y CVE-2019-0655.
Vulnerabilidad en Internet Explorer (CVE-2019-0606)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando Internet Explorer accede incorrectamente a los objetos en la memoria. Esto también se conoce como "Internet Explorer Memory Corruption Vulnerability".
Vulnerabilidad en Microsoft Edge (CVE-2019-0607)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0590, CVE-2019-0591, CVE-2019-0593, CVE-2019-0605, CVE-2019-0610, CVE-2019-0640, CVE-2019-0642, CVE-2019-0644, CVE-2019-0651, CVE-2019-0652 y CVE-2019-0655.
Vulnerabilidad en Microsoft Edge (CVE-2019-0610)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0590, CVE-2019-0591, CVE-2019-0593, CVE-2019-0605, CVE-2019-0607, CVE-2019-0640, CVE-2019-0642, CVE-2019-0644, CVE-2019-0651, CVE-2019-0652 y CVE-2019-0655.
Vulnerabilidad en el software de .NET y en Virtual Studio (CVE-2019-0613)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código en el software de .NET Framework y en Visual Studio cuando el software no comprueba correctamente el marcado de origen de un archivo. Un atacante que consiguiera explotarla podría ejecutar código arbitrario en el contexto del usuario actual. Esto también se conoce como ".NET Framework and Visual Studio Remote Code Execution Vulnerability".
Vulnerabilidad en Windows (CVE-2019-0615)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el componente Windows GDI no muestra correctamente los contenidos de su memoria. Esto también se conoce como "Windows GDI Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2019-0602, CVE-2019-0616, CVE-2019-0619, CVE-2019-0660 y CVE-2019-0664.
Vulnerabilidad en Windows (CVE-2019-0616)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el componente Windows GDI no muestra correctamente los contenidos de su memoria. Esto también se conoce como "Windows GDI Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2019-0602, CVE-2019-0615, CVE-2019-0619, CVE-2019-0660 y CVE-2019-0664.
Vulnerabilidad en Windows (CVE-2019-0618)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código en la manera en la que la interfaz "Windows Graphics Device Interface (GDI)" gestiona los objetos, también conocida como "GDI+ Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0662.
Vulnerabilidad en el componente GDI de Windows (CVE-2019-0619)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el componente Windows GDI no muestra correctamente los contenidos de su memoria. Esto también se conoce como "Windows GDI Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2019-0602, CVE-2019-0615, CVE-2019-0616, CVE-2019-0660 y CVE-2019-0664.
Vulnerabilidad en el kernel de Windows (CVE-2019-0621)
Gravedad:
LowLow
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el kernel de Windows gestiona incorrectamente los objetos en la memoria. Esto también se conoce como "Windows Kernel Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2019-0661 y CVE-2019-0663.
Vulnerabilidad en el componente Win32k (CVE-2019-0623)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de elevación de privilegios en Windows cuando el componente Win32k no gestiona adecuadamente los objetos en la memoria. Esto también se conoce como "Win32k Elevation of Privilege Vulnerability".
Vulnerabilidad en Windows Jet Database Engine (CVE-2019-0625)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando el motor de Windows Jet Database gestiona indebidamente los objetos en la memoria. Esto también se conoce como "Windows VBScript Engine Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0595, CVE-2019-0596, CVE-2019-0597, CVE-2019-0598 y CVE-2019-0599.
Vulnerabilidad en el cliente DHCP de Windows (CVE-2019-0626)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de corrupción de memoria en el servicio Windows Server DHCP cuando un atacante envía paquetes especialmente manipulados a un servidor DHCP. Esto también se conoce como "Windows DHCP Server Remote Code Execution Vulnerability".
Vulnerabilidad en Windows (CVE-2019-0627)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de omisión de la característica de seguridad en Windows que podría permitir que un atacante omita Device Guard. Esto también se conoce como "Windows Security Feature Bypass Vulnerability". El ID de este CVE es diferente de CVE-2019-0631 y CVE-2019-0632.
Vulnerabilidad en el componente win32k (CVE-2019-0628)
Gravedad:
LowLow
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el componente win32k proporciona información sobre la información del kernel. Esto también se conoce como "Win32k Information Disclosure Vulnerability".
Vulnerabilidad en Microsoft Server Message Block (CVE-2019-0630)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código en la manera en la que el servidor Microsoft Server Message Block 2.0 (SMBv2) gestiona determinadas peticiones. Esto también se conoce como "Windows SMB Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0633.
Vulnerabilidad en Windows (CVE-2019-0631)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de omisión de la característica de seguridad en Windows que podría permitir que un atacante omita Device Guard. Esto también se conoce como "Windows Security Feature Bypass Vulnerability". El ID de este CVE es diferente de CVE-2019-0627 y CVE-2019-0632.
Vulnerabilidad en Windows (CVE-2019-0632)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de omisión de la característica de seguridad en Windows que podría permitir que un atacante omita Device Guard. Esto también se conoce como "Windows Security Feature Bypass Vulnerability". El ID de este CVE es diferente de CVE-2019-0627 y CVE-2019-0631.
Vulnerabilidad en Microsoft Server Message Block (CVE-2019-0633)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código en la manera en la que el servidor Microsoft Server Message Block 2.0 (SMBv2) gestiona determinadas peticiones. Esto también se conoce como "Windows SMB Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0630.
Vulnerabilidad en Microsoft Edge (CVE-2019-0634)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando Microsoft Edge accede incorrectamente a los objetos en la memoria. Esto también se conoce como "Microsoft Edge Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0645 y CVE-2019-0650.
Vulnerabilidad en Windows (CVE-2019-0636)
Gravedad:
LowLow
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de información cuando Windows divulga información sobre archivos de manera incorrecta.
Vulnerabilidad en el firewall de Windows (CVE-2019-0637)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Existe una vulnerabilidad de omisión de la característica de seguridad cuando Windows Defender Firewall aplica de manera incorrecta los perfiles de firewall a las conexiones de red móvil. Esto también se conoce como "Windows Defender Firewall Security Feature Bypass Vulnerability".
Vulnerabilidad en Microsoft Edge (CVE-2019-0640)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0590, CVE-2019-0591, CVE-2019-0593, CVE-2019-0605, CVE-2019-0607, CVE-2019-0610, CVE-2019-0642, CVE-2019-0644, CVE-2019-0651, CVE-2019-0652 y CVE-2019-0655.
Vulnerabilidad en Microsoft Edge (CVE-2019-0641)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Existe una vulnerabilidad de omisión de la característica de seguridad en la manera el la que Microsoft Edge gestiona la introducción de páginas en lista blanca. Esto también se conoce como "Microsoft Edge Security Feature Bypass Vulnerability".
Vulnerabilidad en Microsoft Edge (CVE-2019-0642)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0590, CVE-2019-0591, CVE-2019-0593, CVE-2019-0605, CVE-2019-0607, CVE-2019-0610, CVE-2019-0640, CVE-2019-0644, CVE-2019-0651, CVE-2019-0652 y CVE-2019-0655.
Vulnerabilidad en Microsoft Edge (CVE-2019-0643)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Existe una vulnerabilidad de divulgación de información en la manera en la que Microsoft Edge gestiona peticiones de orígenes cruzados, también conocida como "Microsoft Edge Information Disclosure Vulnerability".
Vulnerabilidad en Microsoft Edge (CVE-2019-0644)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0590, CVE-2019-0591, CVE-2019-0593, CVE-2019-0605, CVE-2019-0607, CVE-2019-0610, CVE-2019-0640, CVE-2019-0642, CVE-2019-0651, CVE-2019-0652 y CVE-2019-0655.
Vulnerabilidad en Microsoft Edge (CVE-2019-0645)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando Microsoft Edge accede incorrectamente a los objetos en la memoria. Esto también se conoce como "Microsoft Edge Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0634 y CVE-2019-0650.
Vulnerabilidad en el servidor de Microsoft Chakra JIT (CVE-2019-0649)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Existe una vulnerabilidad en el servidor de Microsoft Chakra JIT, también conocida como "Scripting Engine Elevation of Privileged Vulnerability".
Vulnerabilidad en Microsoft Edge (CVE-2019-0650)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando Microsoft Edge accede incorrectamente a los objetos en la memoria. Esto también se conoce como "Microsoft Edge Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0634 y CVE-2019-0645.
Vulnerabilidad en Microsoft Edge (CVE-2019-0651)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0590, CVE-2019-0591, CVE-2019-0593, CVE-2019-0605, CVE-2019-0607, CVE-2019-0610, CVE-2019-0640, CVE-2019-0642, CVE-2019-0644, CVE-2019-0652 y CVE-2019-0655.
Vulnerabilidad en Microsoft Edge (CVE-2019-0652)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0590, CVE-2019-0591, CVE-2019-0593, CVE-2019-0605, CVE-2019-0607, CVE-2019-0610, CVE-2019-0640, CVE-2019-0642, CVE-2019-0644, CVE-2019-0651 y CVE-2019-0655.
Vulnerabilidad en los navegadores de Microsoft (CVE-2019-0654)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de suplantación cuando los navegadores de Microsoft gestionan de manera incorrecta redireccionamientos específicos. Esto también se conoce como "Microsoft Browser Spoofing Vulnerability".
Vulnerabilidad en Microsoft Edge (CVE-2019-0655)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código que se manifiesta en la forma en la que el motor de scripting gestiona los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Scripting Engine Memory Corruption Vulnerability". El ID de este CVE es diferente de CVE-2019-0590, CVE-2019-0591, CVE-2019-0593, CVE-2019-0605, CVE-2019-0607, CVE-2019-0610, CVE-2019-0640, CVE-2019-0642, CVE-2019-0644, CVE-2019-0651 y CVE-2019-0652.
Vulnerabilidad en el kernel de Windows (CVE-2019-0656)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Existe una vulnerabilidad de elevación de privilegios cuando el kernel de Windows no gestiona adecuadamente los objetos en la memoria. Esto también se conoce como "Windows Kernel Elevation of Privilege Vulnerability".
Vulnerabilidad en las API de .Net Framework y Visual Studio (CVE-2019-0657)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Existe una vulnerabilidad en determinadas API de .Net Framework y en Visual Studio en la manera en la que analizan sintácticamente las URL. Esto también se conoce como ".NET Framework and Visual Studio Spoofing Vulnerability".
Vulnerabilidad en Microsoft Edge (CVE-2019-0658)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el motor de scripting no gestiona correctamente los objetos en la memoria en Microsoft Edge. Esto también se conoce como "Scripting Engine Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2019-0648.
Vulnerabilidad en el servicio de almacenamiento de Windows (CVE-2019-0659)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Existe una vulnerabilidad de elevación de privilegios cuando el servicio de almacenamiento gestiona operaciones de archivos. Esto también se conoce como "Windows Storage Service Elevation of Privilege Vulnerability".
Vulnerabilidad en el componente de Windows GDI (CVE-2019-0660)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el componente Windows GDI no muestra correctamente los contenidos de su memoria. Esto también se conoce como "Windows GDI Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2019-0602, CVE-2019-0615, CVE-2019-0616, CVE-2019-0619 y CVE-2019-0664.
Vulnerabilidad en el kernel de Windows (CVE-2019-0661)
Gravedad:
LowLow
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el kernel de Windows gestiona incorrectamente los objetos en la memoria. Esto también se conoce como "Windows Kernel Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2019-0621 y CVE-2019-0663.
Vulnerabilidad en la interfaz Windows Graphics Device Interface (CVE-2019-0662)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código en la manera en la que la interfaz "Windows Graphics Device Interface (GDI)" gestiona los objetos en memoria. Esto también se conoce como "GDI+ Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0618.
Vulnerabilidad en el kernel de Windows (CVE-2019-0663)
Gravedad:
LowLow
Fecha publicación : 03/05/2019
Última modificación:
03/08/2019
Descripción:
Existe una vulnerabilidad de divulgación de información cuando el kernel de Windows inicializa de manera incorrecta los objetos en memoria. Para explotarla, un atacante autenticado podría ejecutar una aplicación especialmente manipulada. Esto también se conoce como "Windows Kernel Information Disclosure Vulnerability". El ID de este CVE es diferente de CVE-2019-0621 y CVE-2019-0661.
Vulnerabilidad en Microsoft SharePoint (CVE-2019-0668)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de elevación de privilegios de elevación de privilegios cuando Microsoft SharePoint Server no sanea correctamente una petición web especialmente manipulada enviada a un servidor SharePoint afectado. Esto también se conoce como "Microsoft SharePoint Elevation of Privilege Vulnerability."
Vulnerabilidad en Microsoft SharePoint (CVE-2019-0670)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de suplantación en Microsoft SharePoint cuando la aplicación no analiza de manera correcta el contenido HTTP. Esto también se conoce como "Microsoft SharePoint Spoofing Vulnerability".
Vulnerabilidad en Microsoft Access (CVE-2019-0671)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando el motor de conectividad de Microsoft Office Access gestiona de manera incorrecta los objetos en la memoria. Esto también se conoce como "Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0672, CVE-2019-0673, CVE-2019-0674 y CVE-2019-0675.
Vulnerabilidad en Microsoft Access (CVE-2019-0672)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando el motor de conectividad de Microsoft Office Access gestiona de manera incorrecta los objetos en memoria. Esto también se conoce como "Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0671, CVE-2019-0673, CVE-2019-0674 y CVE-2019-0675.
Vulnerabilidad en Microsoft Access (CVE-2019-0673)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando el motor de conectividad de Microsoft Office Access gestiona de manera incorrecta los objetos en memoria. Esto también se conoce como "Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0671, CVE-2019-0672, CVE-2019-0674 y CVE-2019-0675.
Vulnerabilidad en Microsoft Access (CVE-2019-0674)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando el motor de conectividad de Microsoft Office Access gestiona de manera incorrecta los objetos en memoria. Esto también se conoce como "Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0671, CVE-2019-0672, CVE-2019-0673 y CVE-2019-0675.
Vulnerabilidad en Microsoft Office Access (CVE-2019-0675)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código cuando el motor de conectividad de Microsoft Office Access gestiona inadecuadamente los objetos en la memoria. Esto también se conoce como "Microsoft Office Access Connectivity Engine Remote Code Execution Vulnerability". El ID de este CVE es diferente de CVE-2019-0671, CVE-2019-0672, CVE-2019-0673 y CVE-2019-0674.
Vulnerabilidad en Internet Explorer (CVE-2019-0676)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de divulgación de información cuando Internet Explorer gestiona inadecuadamente los objetos en la memoria. Un atacante que explote con éxito esta vulnerabilidad podría averiguar si existen archivos en el disco. Esto también se conoce como "Internet Explorer Information Disclosure Vulnerability'.
Vulnerabilidad en Microsoft Exchange Server (CVE-2019-0686)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existe una vulnerabilidad de elevación de privilegios en Microsoft Exchange Server. Esto también se conoce como "Microsoft Exchange Server Elevation of Privilege Vulnerability". El ID de este CVE es diferente de CVE-2019-0724.
Vulnerabilidad en Microsoft Exchange Server (CVE-2019-0724)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
11/05/2019
Descripción:
Existe una vulnerabilidad de elevación de privilegios en Microsoft Exchange Server. Esto también se conoce como "Microsoft Exchange Server Elevation of Privilege Vulnerability". El ID de este CVE es diferente de CVE-2019-0686.
Vulnerabilidad en Visual Studio Code (CVE-2019-0728)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
05/03/2019
Descripción:
Existe una vulnerabilidad de ejecución remota de código en Visual Studio Code cuando procesa variables del entorno tras abrir un proyecto. Esto también se conoce como "Visual Studio Code Remote Code Execution Vulnerability".
Vulnerabilidad en routers Sagemcom F@st (CVE-2019-9555)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Los routers Sagemcom F@st 5260 que emplean firmware en versiones 0.4.39, en modo WPA, emplean por defecto un PSK que se genera a partir de una lista de palabras en dos partes de valores conocidos y un nonce con una entropía insuficiente. El número de posibles PSK es de 1.78 mil millones, lo que resulta demasiado pequeño.
Vulnerabilidad en el kernel de Linux (CVE-2019-9213)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
06/17/2019
Descripción:
En el kernel de Linux, en versiones anteriores a la 4.20.14, expand_downwards en mm/mmap.c carece de una comprobación para la dirección mínima de mmap, lo que facilita que los atacantes exploten desreferencias de puntero NULL en el kernel en plataformas que no son SMAP. Esto esto está relacionado con una comprobación de capacidades para la tarea equivocada.
Vulnerabilidad en Apache Mesos (CVE-2018-11793)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Al analizar una carga útil JSON con estructuras JSON profundamente anidadas, el analizador en Apache Mesos, en sus versiones anteriores a las 1.4x, desde la 1.4.0 hasta la 1.4.0, desde la 1.5.0 hasta la 1.5.1, desde la 1.6.0 hasta la 1.6.1 y en la 1.7.0, podría realizar una sobrecarga de la pila debido a una recursión infinita. Por lo tanto, un actor malicioso podría provocar una denegación de servicio (DoS) de los nodos Maestro de Mesos, haciendo que el clúster controlado por Mesos no funcione.
Vulnerabilidad en Alcatel Lucent I-240W-Q GPON ONT (CVE-2019-3917)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
Alcatel Lucent I-240W-Q GPON ONT, con firmware en su versión 3FE54567BOZJ19, permite que un atacante no autenticado remoto habilite telnetd en el router mediante una petición HTTP manipulada.
Vulnerabilidad en Alcatel Lucent I-240W-Q GPON ONT (CVE-2019-3918)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
Alcatel Lucent I-240W-Q GPON ONT, con firmware en su versión 3FE54567BOZJ19, contiene múltiples credenciales embebidas para las interfaces Telnet y SSH.
CVE-2019-3919
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
Alcatel Lucent I-240W-Q GPON ONT, con firmware en su versión 3FE54567BOZJ19, es vulnerable a una inyección de comandos mediante una petición HTTP enviada por un atacante autenticado remoto a /GponForm/usb_restore_Form?script/.
Vulnerabilidad en Alcatel Lucent I-240W-Q GPON ONT (CVE-2019-3920)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
Alcatel Lucent I-240W-Q GPON ONT, con firmware en su versión 3FE54567BOZJ19, es vulnerable a una inyección de comandos autenticada mediante una petición HTTP enviada por un atacante autenticado remoto a /GponForm/device_Form?script/.
Vulnerabilidad en Alcatel Lucent I-240W-Q GPON ONT (CVE-2019-3921)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
Alcatel Lucent I-240W-Q GPON ONT, con firmware en su versión 3FE54567BOZJ19, es vulnerable a un desbordamiento de búfer basado en pila mediante una petición HTTP POST enviada por un atacante autenticado remoto a /GponForm/usb_Form?script/. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario.
Vulnerabilidad en Alcatel Lucent I-240W-Q GPON ONT (CVE-2019-3922)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
Alcatel Lucent I-240W-Q GPON ONT, con firmware en su versión 3FE54567BOZJ19, es vulnerable a un desbordamiento de búfer basado en pila mediante una petición HTTP POST enviada por un atacante autenticado remoto a /GponForm/fsetup_Form. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario.
Vulnerabilidad en el plugin Quiz And Survey Master para Wordpress (CVE-2019-9575)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
El plugin Quiz And Survey Master, en versiones 6.0.4 para Wordpress, permite Cross-Site Scripting (XSS) en wp-admin/admin.php?page=mlw_quiz_results quiz_id.
Vulnerabilidad en Moxa IKS y EDS (CVE-2019-6518)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
Moxa IKS y EDS almacenan contraseñas en texto plano, lo que podría permitir que alguien con acceso al dispositivo lea información sensible.
Vulnerabilidad en Moxa IKS y EDS (CVE-2019-6520)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
Moxa IKS y EDS no comprueban adecuadamente la autoridad del lado del servidor, lo que resulta en que un usuario de solo lectura sea capaz de realizar cambios arbitrarios en la configuración.
Vulnerabilidad en Moxa IKS y EDS (CVE-2019-6522)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
Moxa IKS y EDS no comprueban adecuadamente los límites de array que podrían permitir que un atacante lea memoria del dispositivo en direcciones arbitrarias y podría permitir que un atacante recupere datos sensibles o provoque el reinicio del dispositivo.
Vulnerabilidad en Moxa IKS y EDS (CVE-2019-6524)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
Moxa IKS y EDS no implementan medidas suficientes para evitar múltiples intentos fallidos de autenticación, lo que podría permitir que un atacante descubra contraseñas mediante un ataque de fuerza bruta.
Vulnerabilidad en productos PSI (CVE-2019-6528)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
PSI GridConnect GmbH Telecontrol Gateway and Smart Telecontrol Unit family, IEC104 Security Proxy en versiones Telecontrol Gateway 3G en versiones 4.2.21, 5.0.27, 5.1.19, 6.0.16 y anteriores; Telecontrol Gateway XS-MU V en versiones 4.2.21, 5.0.27, 5.1.19, 6.0.16 y anteriores; Telecontrol Gateway VM en versiones 4.2.21, 5.0.27, 5.1.19, 6.0.16 y anteriores; Smart Telecontrol Unit TCG en versiones 5.0.27, 5.1.19, 6.0.16 y anteriores; IEC104 Security Proxy en versiones 2.2.10 y anteriores. El navegador de la aplicación web interpreta las entradas como HTML, JavaScript o VBScript activos, lo que podría permitir a un atacante ejecutar código arbitrario.
Vulnerabilidad en Moxa IKS y EDS (CVE-2019-6557)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
Se han identificado varias vulnerabilidades de desbordamiento de búfer en Moxa IKS y EDS, lo que podría permitir la ejecución remota de código.
Vulnerabilidad en Moxa IKS y EDS (CVE-2019-6559)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
Moxa IKS y EDS permiten que usuarios autenticados remotos provoquen una denegación de servicio (DoS) mediante un paquete especialmente manipulado, lo que podría provocar el cierre inesperado del switch.
Vulnerabilidad en Moxa IKS y EDS (CVE-2019-6561)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
Se ha identificado Cross-Site Request Forgery (CSRF) en Moxa IKS y EDS, lo que podría permitir la ejecución de acciones no autorizadas en el dispositivo.
CVE-2019-6565
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
Moxa IKS y EDS no validan correctamente las entradas de usuario, lo que otorga a los atacantes, tanto autenticados como no, la capacidad de realizar ataques XSS, lo que podría emplearse para enviar un script malicioso.
Vulnerabilidad en IBM InfoSphere Information Governance Catalog (CVE-2018-1875)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
IBM InfoSphere Information Governance Catalog, en sus versiones 11.3, 11.5 y 11.7, podría permitir a un atacante remoto realizar ataques de phishing utilizando un ataque de redirección abierta. Al persuadir a una víctima para que visite un sitio web especialmente manipulado, un atacante remoto podría explotar esta vulnerabilidad para suplantar la URL mostrada y redirigir al usuario a un sitio web malicioso que, a priori, parecería de confianza. Esto podría permitir que el atacante obtuviese información sumamente sensible o que llevase a cabo más ataques contra la víctima. IBM X-Force ID: 151639.
CVE-2018-1899
Gravedad:
LowLow
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
IBM InfoSphere Information Server, en sus versiones 11.3, 11.5 y 11.7, podría permitir a un atacante modificar uno de los ajustes relacionados con InfoSphere Business Glossary Anywhere debido a un control de acceso incorrecto. IBM X-Force ID: 152528.
Vulnerabilidad en IBM Cloud Private (CVE-2018-1937)
Gravedad:
LowLow
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
IBM Cloud Private, en su versión 3.1.1, podría permitir a un usuario local con privilegios del administrador interceptar datos sensibles sin cifrar. IBM X-Force ID: 153317.
Vulnerabilidad en IBM Cloud Private (CVE-2018-1938)
Gravedad:
LowLow
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
IBM Cloud Private, en su versión 3.1.1, podría permitir a un usuario local con privilegios del administrador interceptar datos sensibles sin cifrar. IBM X-Force ID: 153318.
Vulnerabilidad en IBM Cloud Private (CVE-2018-1939)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
IBM Cloud Private, en su versión 3.1.1, podría permitir que un atacante remoto lleve a cabo ataques de phishing empleando un ataque de redirección abierta. Al persuadir a una víctima para que visite un sitio web especialmente manipulado, un atacante remoto podría explotar esta vulnerabilidad para suplantar la URL mostrada y redirigir al usuario a un sitio web malicioso que, a priori, parecería de confianza. Esto podría permitir que el atacante obtuviese información sumamente sensible o que llevase a cabo más ataques contra la víctima. IBM X-Force ID: 153319.
Vulnerabilidad en IBM Sterling B2B Integrator (CVE-2019-4027)
Gravedad:
LowLow
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
IBM Sterling B2B Integrator, desde la versión 5.2.0.1 hasta la 6.0.0.0, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 155905.
Vulnerabilidad en IBM Sterling B2B Integrator (CVE-2019-4028)
Gravedad:
LowLow
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
IBM Sterling B2B Integrator, desde la versión 5.2.0.1 hasta la 6.0.0.0, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 155906.
Vulnerabilidad en IBM Sterling B2B Integrator (CVE-2019-4029)
Gravedad:
LowLow
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
IBM Sterling B2B Integrator, desde la versión 5.2.0.1 hasta la 6.0.0.0, es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 155907.
Vulnerabilidad en IBM Financial Transaction Manager (CVE-2019-4032)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
IBM Financial Transaction Manager para pagos digitales para para múltiples plataformas 3.1.0 es vulnerable a una inyección SQL. Un atacante remoto podría enviar instrucciones SQL especialmente manipuladas que podrían permitir que el atacante viese, añadiese, modificase o borrase información en la base de datos del backend. IBM X-Force ID: 155998.
CVE-2019-4063
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
10/09/2019
Descripción:
IBM Sterling B2B Integrator, desde la versión 5.2.0.1 hasta la 6.0.0.0, en su edición estándar, podría permitir que se transmita información sensible en texto plano. Un atacante podría obtener esta información empleando técnicas Man-in-the-Middle (MitM). IBM X-Force ID: 157008.
Vulnerabilidad en productos Apple (CVE-2019-6200)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Se abordó una lectura fuera de límites con la mejora de la validación de entradas. Este problema se ha resuelto en iOS 12.1.3 y macOS Mojave 10.14.3. Un atacante en una posición de red privilegiada podría ser capaz de ejecutar código arbitrario.
Vulnerabilidad en productos Apple (CVE-2019-6202)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Se abordó una lectura fuera de límites con la mejora de la comprobación de límites. Este problema se ha resuelto en iOS 12.1.3, macOS Mojave 10.14.3 y watchOS 5.1.3. Una aplicación maliciosa podría ser capaz de escalar sus privilegios.
Vulnerabilidad en productos Apple (CVE-2019-6208)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Se abordó un problema de inicialización de memoria con la mejora de la gestión de memoria. Este problema se ha resuelto en iOS 12.1.3, macOS Mojave 10.14.3 y tvOS 12.1.2. Una aplicación maliciosa podría provocar daños inesperados en la memoria compartida entre procesos.
Vulnerabilidad en productos Apple (CVE-2019-6209)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existió un problema de lectura fuera de límites que conducía a la divulgación de la memoria del kernel. Esto se abordó con la mejora de la validación de entradas. Este problema se ha resuelto en iOS 12.1.3, macOS Mojave 10.14.3, tvOS 12.1.2 y watchOS 5.1.3. Una aplicación maliciosa podría ser capaz de determinar la distribución de la memoria del kernel.
Vulnerabilidad en productos Apple (CVE-2019-6211)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Se abordó un problema de corrupción de memoria con la mejora de la gestión de estados. Este problema se ha resuelto en iOS 12.1.3 y macOS Mojave 10.14.3. El procesamiento de contenido web maliciosamente manipulado puede conducir a la ejecución de código arbitrario.
Vulnerabilidad en productos Apple (CVE-2019-6212)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/19/2019
Descripción:
Se abordaron múltiples problemas de corrupción de memoria con la mejora de la gestión de memoria. Este problema se ha resuelto en iOS 12.1.3, tvOS 12.1.2, Safari 12.0.3, iTunes 12.9.3 para Windows y iCloud para Windows 7.10. El procesamiento de contenido web maliciosamente manipulado puede conducir a la ejecución de código arbitrario.
Vulnerabilidad en productos Apple (CVE-2019-6213)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Se abordó un desbordamiento de búfer con la mejora de la comprobación de límites. Este problema se ha resuelto en iOS 12.1.3, macOS Mojave 10.14.3, tvOS 12.1.2 y watchOS 5.1.3. Una aplicación maliciosa podría ser capaz de ejecutar código arbitrario con los privilegios del kernel.
Vulnerabilidad en productos Apple (CVE-2019-6214)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Se abordó un problema de confusión de tipos con la mejora de la gestión de memoria. Este problema se ha resuelto en iOS 12.1.3, macOS Mojave 10.14.3, tvOS 12.1.2 y watchOS 5.1.3. Una aplicación maliciosa podría ser capaz de escapar del sandbox.
Vulnerabilidad en productos Apple (CVE-2019-6215)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/19/2019
Descripción:
Se abordó un problema de confusión de tipos con la mejora de la gestión de memoria. Este problema se ha resuelto en iOS 12.1.3, tvOS 12.1.2, Safari 12.0.3, iTunes 12.9.3 para Windows y iCloud para Windows 7.10. El procesamiento de contenido web maliciosamente manipulado puede conducir a la ejecución de código arbitrario.
Vulnerabilidad en productos Apple (CVE-2019-6216)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/19/2019
Descripción:
Se abordaron múltiples problemas de corrupción de memoria con la mejora de la gestión de memoria. Este problema se ha resuelto en iOS 12.1.3, tvOS 12.1.2, watchOS 5.1.3, Safari 12.0.3, iTunes 12.9.3 para Windows y iCloud para Windows 7.10. El procesamiento de contenido web maliciosamente manipulado puede conducir a la ejecución de código arbitrario.
Vulnerabilidad en productos Apple (CVE-2019-6217)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/19/2019
Descripción:
Se abordaron múltiples problemas de corrupción de memoria con la mejora de la gestión de memoria. Este problema se ha resuelto en iOS 12.1.3, tvOS 12.1.2, watchOS 5.1.3, Safari 12.0.3, iTunes 12.9.3 para Windows y iCloud para Windows 7.10. El procesamiento de contenido web maliciosamente manipulado puede conducir a la ejecución de código arbitrario.
Vulnerabilidad en productos Apple (CVE-2019-6218)
Gravedad:
HighHigh
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Se abordó un problema de corrupción de memoria con la mejora de la validación de entradas. Este problema se ha resuelto en iOS 12.1.3, macOS Mojave 10.14.3 y tvOS 12.1.2. Una aplicación maliciosa podría ser capaz de ejecutar código arbitrario con los privilegios del kernel.
Vulnerabilidad en productos Apple (CVE-2019-6219)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Se abordó un problema de denegación de servicio con la mejora de la validación. Este problema se ha resuelto en iOS 12.1.3, macOS Mojave 10.14.3 y watchOS 5.1.3. El procesamiento de un mensaje maliciosamente manipulado podría conducir a una denegación de servicio (DoS).
Vulnerabilidad en productos Apple (CVE-2019-6220)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Se abordó una lectura fuera de límites con la mejora de la validación de entradas. Este problema se ha resuelto en macOS Mojave 10.14.3. Una aplicación podría ser capaz de leer memoria restringida.
Vulnerabilidad en productos Apple (CVE-2019-6221)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Se abordó una lectura fuera de límites con la mejora de la comprobación de límites. Este problema se ha resuelto en iOS 12.1.3, macOS Mojave 10.14.3 y iTunes 12.9.3 para Windows. Una aplicación maliciosa podría ser capaz de escalar sus privilegios.
Vulnerabilidad en productos Apple (CVE-2019-6224)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Se abordó un problema de desbordamiento de búfer con la mejora de la gestión de memoria. Este problema se ha resuelto en iOS 12.1.3, macOS Mojave 10.14.3, tvOS 12.1.2 y watchOS 5.1.3. Un atacante remoto podría ser capaz de iniciar una llamada FaceTime, provocando la ejecución de código arbitrario.
Vulnerabilidad en productos Apple (CVE-2019-6226)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/19/2019
Descripción:
Se abordaron múltiples problemas de corrupción de memoria con la mejora de la gestión de memoria. Este problema se ha resuelto en iOS 12.1.3, tvOS 12.1.2, watchOS 5.1.3, Safari 12.0.3, iTunes 12.9.3 para Windows y iCloud para Windows 7.10. El procesamiento de contenido web maliciosamente manipulado puede conducir a la ejecución de código arbitrario.
Vulnerabilidad en productos Apple (CVE-2019-6227)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/19/2019
Descripción:
Se abordó un problema de corrupción de memoria con la mejora de la gestión de memoria. Este problema se ha resuelto en iOS 12.1.3, tvOS 12.1.2, watchOS 5.1.3, Safari 12.0.3, iTunes 12.9.3 para Windows y iCloud para Windows 7.10. El procesamiento de contenido web maliciosamente manipulado puede conducir a la ejecución de código arbitrario.
Vulnerabilidad en Safari (CVE-2019-6228)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/06/2019
Descripción:
Existía un problema de Cross-Site Scripting (XSS) en Safari. Esto se abordó con la mejora de la validación de URL. Este problema se ha resuelto en iOS 12.1.3 y Safari 12.0.3. El procesamiento de contenido web maliciosamente manipulado puede conducir a un ataque Cross-Site Scripting (XSS).
Vulnerabilidad en productos Apple (CVE-2019-6229)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/19/2019
Descripción:
Se abordó un problema de lógica con la mejora de la validación. Este problema se ha resuelto en iOS 12.1.3, tvOS 12.1.2, Safari 12.0.3, iTunes 12.9.3 para Windows y iCloud para Windows 7.10. El procesamiento de contenido web maliciosamente manipulado puede conducir a Cross-Site Scripting (XSS) universal.
Vulnerabilidad en productos Apple (CVE-2019-6230)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Se abordó un problema de inicialización de memoria con la mejora de la gestión de memoria. Este problema se ha resuelto en iOS 12.1.3, macOS Mojave 10.14.3, tvOS 12.1.2 y watchOS 5.1.3. Una aplicación maliciosa podría ser capaz de escapar del sandbox.
Vulnerabilidad en productos Apple (CVE-2019-6231)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/07/2019
Descripción:
Se abordó una lectura fuera de límites con la mejora de la comprobación de límites. Este problema se ha resuelto en iOS 12.1.3, macOS Mojave 10.14.3, tvOS 12.1.2 y watchOS 5.1.3. Una aplicación maliciosa podría ser capaz de leer la memoria restringida.
Vulnerabilidad en productos Apple (CVE-2019-6233)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/18/2019
Descripción:
Se abordó un problema de corrupción de memoria con la mejora de la gestión de memoria. Este problema se ha resuelto en iOS 12.1.3, tvOS 12.1.2, Safari 12.0.3, iTunes 12.9.3 para Windows y iCloud para Windows 7.10. El procesamiento de contenido web maliciosamente manipulado puede conducir a la ejecución de código arbitrario.
Vulnerabilidad en productos Apple (CVE-2019-6234)
Gravedad:
Medium Medium
Fecha publicación : 03/05/2019
Última modificación:
03/15/2019
Descripción:
Se abordó un problema de corrupción de memoria con la mejora de la gestión de memoria. Este problema se ha resuelto en iOS 12.1.3, tvOS 12.1.2, Safari 12.0.3, iTunes 12.9.3 para Windows y iCloud para Windows 7.10. El procesamiento de contenido web maliciosamente manipulado puede conducir a la ejecución de código arbitrario.
Vulnerabilidad en YzmCMS (CVE-2019-9570)
Gravedad:
LowLow
Fecha publicación : 03/05/2019
Última modificación:
03/05/2019
Descripción:
Se ha descubierto un problema en YzmCMS 5.2.0. Tiene Cross-Site Scripting (XSS) mediante el campo de texto inferior en el URI admin/system_manage/save.html, relacionado con el parámetro site_code.
Vulnerabilidad en PHP (CVE-2019-9020)
Gravedad:
HighHigh
Fecha publicación : 02/22/2019
Última modificación:
06/18/2019
Descripción:
Se ha descubierto un problema en PHP en versiones anteriores a la 5.6.40, versiones 7.x anteriores a la 7.1.26, versiones 7.2.x anteriores a la 7.2.14 y versiones 7.3.x anteriores a la 7.3.1. Las entradas inválidas en la función xmlrpc_decode() pueden conducir a un acceso inválido a la memoria (lectura de memoria dinámica o heap fuera de límites o lectura de memoria previamente liberada). Esto está relacionado con xml_elem_parse_buf en ext/xmlrpc/libxmlrpc/xml_element.c.
Vulnerabilidad en PHP (CVE-2019-9021)
Gravedad:
HighHigh
Fecha publicación : 02/22/2019
Última modificación:
06/18/2019
Descripción:
Se ha descubierto un problema en PHP en versiones anteriores a la 5.6.40, versiones 7.x anteriores a la 7.1.26, versiones 7.2.x anteriores a la 7.2.14 y versiones 7.3.x anteriores a la 7.3.1. Una sobrelectura de búfer basada en memoria dinámica (heap) en las funciones de lectura PHAR en la extensión PHAR podría permitir que un atacante lea memoria asignada o no asignada más allá de los datos reales al intentar analizar el nombre de archivo. Esta vulnerabilidad es diferente de CVE-2018-20783. Esto está relacionado con phar_detect_phar_fname_ext en ext/phar/phar.c.
Vulnerabilidad en PHP (CVE-2019-9022)
Gravedad:
Medium Medium
Fecha publicación : 02/22/2019
Última modificación:
06/18/2019
Descripción:
Se ha descubierto un problema en PHP, en versiones 7.x anteriores a la 7.1.26, versiones 7.2.x anteriores a la 7.2.14 y versiones 7.3.x anteriores a la 7.3.2. dns_get_record analiza erróneamente una respuesta DNS, lo que podría permitir que un servidor DNS hostil provoque que PHP emplee memcpy de forma incorrecta, lo que conduce a que las operaciones de lectura sobrepasen el búfer asignado para los datos DNS. Esto afecta a php_parserr en ext/standard/dns.c para las consultas DNS_CAA y DNS_ANY.
Vulnerabilidad en PHP (CVE-2019-9023)
Gravedad:
HighHigh
Fecha publicación : 02/22/2019
Última modificación:
06/18/2019
Descripción:
Se ha descubierto un problema en PHP en versiones anteriores a la 5.6.40, versiones 7.x anteriores a la 7.1.26, versiones 7.2.x anteriores a la 7.2.14 y versiones 7.3.x anteriores a la 7.3.1. Existen instancias de sobrelectura de búfer basada en memoria dinámica (heap) en las funciones de expresión regular mbstring cuando se les proporcionan datos multibyte inválidos. Estas ocurren en ext/mbstring/oniguruma/regcomp.c, ext/mbstring/oniguruma/regexec.c, ext/mbstring/oniguruma/regparse.c, ext/mbstring/oniguruma/enc/unicode.c y ext/mbstring/oniguruma/src/utf32_be.c cuando un patrón de expresión regular multibyte contiene secuencias multibyte inválidas.
Vulnerabilidad en PHP (CVE-2019-9024)
Gravedad:
Medium Medium
Fecha publicación : 02/22/2019
Última modificación:
06/18/2019
Descripción:
Se ha descubierto un problema en PHP en versiones anteriores a la 5.6.40, versiones 7.x anteriores a la 7.1.26, versiones 7.2.x anteriores a la 7.2.14 y versiones 7.3.x anteriores a la 7.3.1. xmlrpc_decode() puede permitir que un servidor XMLRPC hostil provoque que la memoria PHP lea memoria más allá de las áreas asignadas en base64_decode_xmlrpc en ext/xmlrpc/libxmlrpc/base64.c.
Vulnerabilidad en Sound eXchange (SoX) (CVE-2017-15371)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2017
Última modificación:
10/02/2019
Descripción:
Hay una cancelación de aserción alcanzable en la función sox_append_comment() en formats.c en Sound eXchange (SoX) 14.4.2. Se podría realizar un ataque de denegación de servicio con unos valores de entrada especialmente manipulados durante la conversión de un archivo de audio.