Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en IBM DB2 (CVE-2019-4014)
Gravedad:
HighHigh
Fecha publicación : 04/03/2019
Última modificación:
10/09/2019
Descripción:
IBM DB2 para Linux, UNIX y Windows, en sus versiones 9.7, 10.1, 10.5 y 11.1 (incluido DB2 Connect Server), son vulnerables a un desbordamiento de búfer, lo que podría permitir que un atacante local autenticado ejecute código arbitrario en el sistema como root. IBM X-Force ID: 155892.
Vulnerabilidad en el plugin Ultimate Member (CVE-2019-10673)
Gravedad:
HighHigh
Fecha publicación : 04/03/2019
Última modificación:
03/16/2020
Descripción:
Una vulnerabilidad de Cross-Site Request Forgery (CSRF) en el formulario de edición del perfil de usuario conectado en el plugin Ultimate Member, en versiones anteriores a la 2.0.40 para WordPress, permite a los atacantes obtener acceso de administrador y, por consiguiente, extraer información sensible y ejecutar código arbitrario. Esto ocurre porque el atacante puede cambiar la dirección de correo electrónico en el perfil de administrador y, a continuación, restablecer la contraseña de administrador utilizando el formulario de WordPress "password forget".
Vulnerabilidad en Grandstream GXP16xx (CVE-2018-17563)
Gravedad:
Medium Medium
Fecha publicación : 04/01/2019
Última modificación:
10/02/2019
Descripción:
na cadena de entradas mal formada en /cgi-bin/api-get_line_status en los móviles de Grandstream GXP16xx VoIP 1.0.4.128, permite a los atacantes volcar la configuración del dispositivo en texto claro.
Vulnerabilidad en Grandstream GXP16xx (CVE-2018-17564)
Gravedad:
HighHigh
Fecha publicación : 04/01/2019
Última modificación:
10/02/2019
Descripción:
Una cadena de entradas mal formada en /cgi-bin/delete_CA en los móviles de Grandstream GXP16xx VoIP 1.0.4.128 permite a los atacantes eliminar los parámetros de configuración y obtener acceso de administrador al dispositivo.
Vulnerabilidad en el kernel de Linux (CVE-2019-8956)
Gravedad:
HighHigh
Fecha publicación : 04/01/2019
Última modificación:
06/14/2019
Descripción:
En el kernel de Linux, en versiones anteriores a las 4.20.8 y 4.19.21, un error de uso de memoria previamente liberada en la función "sctp_sendmsg()" (net/sctp/socket.c) al gestionar la marca SCTP_SENDALL puede explotarse para corromper memoria
Vulnerabilidad en el servidor OpenShift OAuth (CVE-2019-3876)
Gravedad:
Medium Medium
Fecha publicación : 04/01/2019
Última modificación:
07/24/2019
Descripción:
Se ha detectado un fallo en el endpoint personalizado en /oauth/token/request del servidor OpenShift OAuth, permitiendo la generación de Cross-Site Scripting (XSS) de tokens CLI debido a la falta de X-Frame-Options y protecciones de Cross-Site Request Forgery (CSRF). Si no se previene, una vulnerabilidad de Cross-Site Scripting (XSS) separada mediante JavaScript podría permitir la extracción de estos tokens
Vulnerabilidad en productos de Grandstream (CVE-2019-10655)
Gravedad:
HighHigh
Fecha publicación : 03/30/2019
Última modificación:
04/03/2019
Descripción:
Los dispositivos de Grandstream GAC2500 1.0.3.35, GXP2200 1.0.3.27, GVC3202 1.0.3.51, GXV3275 anteriores a la versión 1.0.3.219 Beta y GXV3240 anteriores a la 1.0.3.219 Beta permiten la ejecución remota de código mediante metacaracteres shell en un campo "priority" en /manager?action=getlogcat, en conjunto con un desbordamiento de búfer (mediante la cookie "phonecookie") para sobrescribir una estructura de datos y, por consiguiente, omitir la autenticación. Esto puede explotarse mediante Cross-Site Request Forgery (CSRF) debido a que se puede colocar la cookie en una cabecera HTTP "Accept" en una llamada XMLHttpRequest a lighttpd.
Vulnerabilidad en Baxter SIGMA Spectrum Infusion System (CVE-2014-5434)
Gravedad:
Medium Medium
Fecha publicación : 03/26/2019
Última modificación:
10/09/2019
Descripción:
Baxter SIGMA Spectrum Infusion System 6.05 (modelo 35700BAX), con un módulo de batería inalámbrica (WBM), en su versión 16, tiene una cuenta por defecto con credenciales embebidas empleadas con el protocolo FTP. Baxter afirma que no se pueden transferir archivos desde o hasta el WBM mediante esta cuenta. Baxter ha publicado una nueva versión de SIGMA Spectrum Infusion System, la 8, que incluye cambios en el software y el hardware.