Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en osClass (CVE-2016-10751)
Gravedad:
Medium Medium
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
osClass versión 3.6.1, permite una vulnerabilidad de cruce de directorios (Directory Traversal) en el archivo oc-admin/plugins.php por medio del parámetro plugin. Esto es explotable para la ejecución remota de código PHP debido a que un administrador puede cargar una imagen que contiene código PHP en los datos EXIF ??por medio de index.php?page=ajax&action=ajax_upload.
Vulnerabilidad en PHP Object (CVE-2016-10753)
Gravedad:
Medium Medium
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
e107 versión 2.1.2, permite la inyección de objetos PHP teniendo como resultado la inyección SQL, porque el archivo usersettings.php usa deserialización sin un HMAC.
Vulnerabilidad en GNSS XTRA3 en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables (CVE-2018-13886)
Gravedad:
HighHigh
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
El campo OTA no verificado en GNSS XTRA3, conlleva a un desbordamiento de enteros y posterior a un desbordamiento de búfer en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones MDM9150, MDM9206, MDM9607, MDM9615, MDM9635M, MDM9640, MDM9650, MDM9655, MSM8909W, MSM8996AU, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 410/12, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 600, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 675, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 835, SD 845 / SD 850, SDA660, SDM439, SDM630, SDM660, SDX20, SM7150, Snapdragon_High_Med_2016, SXR1130.
Vulnerabilidad en Zoho ManageEngine ADSelfService Plus (CVE-2019-8346)
Gravedad:
Medium Medium
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
En Zoho ManageEngine ADSelfService Plus versión 5.x hasta 5704, una vulnerabilidad de tipo cross-site Scripting (XSS) en el archivo authorization.do permite una manipulación no autenticada del código JavaScript inyectando el formulario HTTP en el parametro adscsrf. Un atacante puede utilizar esto para capturar el restablecimiento de la contraseña de autoservicio AD de un usuario y el token MFA.
Vulnerabilidad en Enterprise Manager Ops Center de Oracle Enterprise Manager Products Suite (CVE-2019-2726)
Gravedad:
Medium Medium
Fecha publicación : 05/24/2019
Última modificación:
08/24/2020
Descripción:
Vulnerabilidad en el componente Enterprise Manager Ops Center de Oracle Enterprise Manager Products Suite (subcomponente: Services Integration). La versión soportada que se ve afectada es la 12.3.3. Una vulnerabilidad difícil de explotar permite a un atacante con pocos privilegios acceder a la red por medio de HTTP comprometiendo el Enterprise Manager Ops Center. Mientras la vulnerabilidad se encuentra en Enterprise Manager Ops Center, los ataques pueden afectar significativamente productos adicionales. Ataques exitosos de esta vulnerabilidad pueden conllevar a una capacidad no autorizada para generar una suspensión o un bloqueo repetible con frecuencia (del DOS completo) del Enterprise Manager Ops Center. CVSS 3.0 Base Score 6.3 (Availability impacts). CVSS Vector: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:C/C:N/I:N/A:H).
Vulnerabilidad en Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile (CVE-2019-2250)
Gravedad:
HighHigh
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
El kernel puede escribir hacia la dirección de memoria arbitraria pasada por el usuario mientras el proceso de liberar/detener un hilo (thread) en Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile en las versiones QCS605, SD 675, SD 712 / SD 710 / SD 670, SD 835, SD 845 / SD 850, SD 855, SD 8CX, SM7150, SXR1130.
Vulnerabilidad en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables (CVE-2019-2248)
Gravedad:
Medium Medium
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
Puede presentarse un desbordamiento del búfer si un encabezado no válido intenta sobrescribir el búfer existente que corrige la asignación de tamaño en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones MDM9150, MDM9206, MDM9607, MDM9650, MSM8909W, MSM8996AU, Qualcomm 215, SD 210/SD 212/SD 205, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 820, SD 820A, SD 845 / SD 850, SDM439, SDM660, SDX20.
Vulnerabilidad en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables (CVE-2019-2247)
Gravedad:
Medium Medium
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
La posibilidad de un problema de doble liberación (Double Free) mientras se ejecutan múltiples peticiones del componente smp2p test, debido a que esta faltando la protección adecuada mientras se es usando global variable en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones MDM9150, MDM9206, MDM9607, MDM9640, MDM9650, MSM8909W, MSM8996AU, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 425, SD 439 / SD 429, SD 450, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 712 / SD 710 / SD 670, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDA660, SDM439, SDM630, SDM660, SDX20, SDX24
Vulnerabilidad en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables (CVE-2019-2245)
Gravedad:
HighHigh
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
Un posible que un desbordamiento de enteros puede presentarse al calcular la longitud del mapa de flujo elemental desde la longitud del paquete no válido que es luego usada para leer desde el búfer de entrada en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones MDM9206, MDM9607, MDM9650, MSM8909W, MSM8996AU, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 600, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 675, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDA660, SDM439, SDM630, SDM660, SDX20, SM7150, Snapdragon_High_Med_2016.
Vulnerabilidad en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Wearable (CVE-2019-2244)
Gravedad:
HighHigh
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
Un posible que un desbordamiento de enteros puede presentarse al calcular la longitud de la información de flujo elemental a partir de la longitud de sección no válida que es luego usada para para leer desde el búfer de entrada en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Wearable en las versiones MDM9206, MDM9607, MDM9650, MSM8909W, MSM8996AU, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 600, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDA660, SDM439, SDM630, SDM660, SDX20, Snapdragon_High_Med_2016
Vulnerabilidad en freeradius (CVE-2019-10143)
Gravedad:
Medium Medium
Fecha publicación : 05/24/2019
Última modificación:
09/30/2020
Descripción:
** EN DISPUTA **Se encontró que freeradius hasta la versión 3.0.19 incluyéndola, no configura correctamente el componente logrotate, lo que permite que un atacante local que ya tiene el control del usuario radiusd escale sus privilegios a root, engañando a logrotate para que escriba un archivo escribible en radiusd en un directorio normalmente inaccesible para el usuario radiusd. NOTA: el mantenedor de software upstream ha declarado que "simplemente no hay forma de que alguien obtenga privilegios a través de este supuesto problema"
Vulnerabilidad en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Vulnerabilidad en Mobile, Snapdragon Wearable (CVE-2018-13925)
Gravedad:
HighHigh
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
Un error de sintaxis en tabla PMT libera la memoria asignada para la sección del mapa, pero no restablece la referencia de la sección del mapa de contexto que genera una vulnerabilidad de acceso a memoria previamente liberada en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Wearables en las versiones MDM9206, MDM9607, MDM9650, MSM8909W, MSM8996AU, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 600, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDA660, SDM439, SDM630, SDM660, SDX20, Snapdragon_High_Med_2016, SXR1130.
Vulnerabilidad en Snapdragon Auto, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wearables (CVE-2018-13920)
Gravedad:
HighHigh
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
Condición de acceso a memoria previamente liberada (Use-After-Free) debido al manejo inapropiado de hrtimers cuando el controlador de la PMU intenta acceder a sus eventos en Snapdragon Auto, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wearables en las versión MDM9206, MDM9607, MDM9650, MSM8909W, QCS605, Qualcomm 215, SD 425, SD 439 / SD 429, SD 450, SD 625, SD 632, SD 636, SD 712 / SD 710 / SD 670, SD 820A, SD 845 / SD 850, SD 855, SDM439, SDM630, SDM660, SDX24
Vulnerabilidad en Snapdragon Auto, Compute Snapdragon, Conectividad Snapdragon, IOT Snapdragon Consumer, IOT Snapdragon Industrial, IoT Snapdragon, Snapdragon Mobile, Snapdragon Wearables (CVE-2018-13899)
Gravedad:
HighHigh
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
El procesamiento de los mensajes después de un error puede resultaren una falla de acceso a memoria previamente liberada (Use-After-Free) en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wearables en las versiones MDM9150, MDM9206, MDM9607, MDM9650, MSM8909W, QCS605, Qualcomm 215, SD 425, SD 439 / SD 429, SD 450, SD 625, SD 632, SD 636, SD 675, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 845 / SD 850, SD 855, SDA660, SDM439, SDM630, SDM660, SDX20, SDX24, SM7150
Vulnerabilidad en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Wearables (CVE-2018-13895)
Gravedad:
HighHigh
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
Debido a la falta de permisos en varios proveedores de contenido de la aplicación RCS en su archivo android manifest, se obtendrá un acceso sin privilegios al teléfono en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Wearables en las versiones MDM9150, MDM9206, MDM9607, MDM9650, MSM8909W, MSM8996AU, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 425, SD 439 / SD 429, SD 450, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDA660, SDM439, SDM630, SDM660, SDX20.
Vulnerabilidad en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wearables (CVE-2018-13887)
Gravedad:
HighHigh
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
Los campos de encabezado no seguros en la función GNSS XTRA3 pueden generar un desbordamiento de enteros en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wearables in MDM9150, MDM9206, MDM9607, MDM9635M, MDM9650, MDM9655, MSM8909W, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 600, SD 625, SD 632, SD 636, SD 675, SD 712 / SD 710 / SD 670, SD 835, SD 845 / SD 850, SDA660, SDM439, SDM630, SDM660, SDX20, SM7150, SXR1130.
Vulnerabilidad en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wearables (CVE-2018-13885)
Gravedad:
Medium Medium
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
La posible sobreimpresión de la memoria puede llevar al acceso a datos confidenciales en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wearables en as versiones MDM9150, MDM9206, MDM9607, MDM9615, MDM9625, MDM9635M, MDM9650, MDM9655, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 625, SD 632, SD 636, SD 675, SD 712 / SD 710 / SD 670, SD 835, SD 845 / SD 850, SDA660, SDM439, SDM630, SDM660, SDX20, SM7150, SXR1130.
Vulnerabilidad en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables (CVE-2018-12005)
Gravedad:
Medium Medium
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
Un usuario sin privilegios puede enviar una llamada a carpeta (Binder Call) y generar una paralización del sistema en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones MDM9150, MDM9206, MDM9607, MDM9640, MDM9650, MSM8909W, MSM8996AU, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 425, SD 439 / SD 429, SD 450, SD 625, SD 632, SD 636, SD 675, SD 712 / SD 710 / SD 670, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDA660, SDM439, SDM630, SDM660, SDX20, SDX24, SM7150
CVE-2018-11976
Gravedad:
Medium Medium
Fecha publicación : 05/24/2019
Última modificación:
08/24/2020
Descripción:
El código de firma ECDSA filtra las claves privadas de secure world hacia secure world en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables, Snapdragon Wired Infrastructure and Networking en las versiones IPQ8074, MDM9150, MDM9206, MDM9607, MDM9650, MDM9655, MSM8909W, MSM8996AU, QCA8081, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 410/12, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 8CX, SDA660, SDM439, SDM630, SDM660, Snapdragon_High_Med_2016, SXR1130.
Vulnerabilidad en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wearables (CVE-2018-11967)
Gravedad:
HighHigh
Fecha publicación : 05/24/2019
Última modificación:
08/24/2020
Descripción:
La comprobación de firma de la biblioteca skel podría potencialmente ser desactivada, ya que la región de memoria en el subsistema remoto en el cual es cargada la biblioteca se asigna desde el userspace actualmente en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wearables en las versiones MDM9150, MDM9206, MDM9607, MDM9640, MDM9650, MSM8909W, MSM8996AU, QCS605, Qualcomm 215, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 625, SD 632, SD 636, SD 650/52, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDA660, SDM439, SDM630, SDM660, SDX20, SDX24.
Vulnerabilidad en Snapdragon Auto, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables (CVE-2018-11953)
Gravedad:
HighHigh
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
Mientras se procesa la longitud SSID IE desde el punto de acceso (AP) remoto, un posible acceso fuera de los límites puede ocurrir debido a una longitud SSID IE creado en Snapdragon Auto, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones MDM9150, MDM9206, MDM9607, MDM9640, MDM9650, MSM8909W, MSM8996AU, QCA6174A, QCA6574AU, QCA9377, QCA9379, Qualcomm 215, SD 210/SD 212/SD 205, SD 425, SD 439 / SD 429, SD 450, SD 615/16/SD 415, SD 625, SD 632, SD 650/52, SD 820, SD 820A, SDM439, SDX20.
Vulnerabilidad en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile (CVE-2018-11930)
Gravedad:
HighHigh
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
La comprobación inapropiada sobre la entrada de datos que es usada para localizar y copiar los IEs adicionales en la función WLAN puede conllevar a un potencial problema de truncado de enteros en Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile en las versiones MDM9150, MDM9206, MDM9607, MDM9640, MDM9650, MSM8996AU, QCS605, Qualcomm 215, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 625, SD 632, SD 636, SD 675, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDA660, SDM439, SDM630, SDM660, SDX20, SDX24, SM7150
Vulnerabilidad en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Wearables (CVE-2018-11271)
Gravedad:
HighHigh
Fecha publicación : 05/24/2019
Última modificación:
05/29/2019
Descripción:
La autenticación incorrecta puede presentarse durante el manejo de comandos remotos debido al manejo inapropiado de eventos en Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Wearables en la versiones MDM9206, MDM9607, MDM9650, MSM8909W, MSM8996AU, QCS605, Qualcomm 215, SD 210/SD 212/SD 205, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SD 675, SD 712 / SD 710 / SD 670, SD 820, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDA660, SDM439, SDM630, SDM660, SM7150, Snapdragon_High_Med_2016, SXR1130
Vulnerabilidad en AutomateAppCore.dll en Blue Prism Robotic Process Automation (CVE-2019-11875)
Gravedad:
Medium Medium
Fecha publicación : 05/24/2019
Última modificación:
08/24/2020
Descripción:
En AutomateAppCore.dll en Blue Prism Robotic Process Automation versión 6.4.0.8445, una vulnerabilidad en el control de acceso puede ser explotada para escalar los privilegios. La vulnerabilidad permite abusar de la aplicación por fraude o acceso no autorizado a cierta información. El ataque requiere una cuenta de usuario válida para conectarse al servidor Blue Prism, pero no se necesita que los roles asociados a esta cuenta tengan permisos. En primer lugar, los archivos de aplicación se modifican para otorgar todos los permisos del lado del cliente. En un entorno de prueba (o su propia instancia del software), un atacante puede otorgarse privilegios completos también del lado del servidor. Luego puede, por ejemplo, diseñar un proceso con comportamiento malicioso y exportarlo a un disco. Con el cliente modificado, es posible importar el archivo exportado como una versión y sobrescribir cualquier proceso existente en la base de datos. Eventualmente, los bots ejecutan el proceso malicioso. El servidor no comprueba los permisos del usuario para las acciones antes mencionadas, de modo que una modificación del programa cliente habilita este clase de ataque. Los posibles escenarios pueden implicar cambiar cuentas bancarias o establecer contraseñas.
Vulnerabilidad en Docker (CVE-2018-15664)
Gravedad:
Medium Medium
Fecha publicación : 05/23/2019
Última modificación:
06/25/2019
Descripción:
En Docker hasta la versión 18.06.1-ce-rc2, los endpoints API debajo del comando 'docker cp' son vulnerables a un ataque de de tipo symlink-exchange con salto de directorio, dando a los atacantes acceso arbitrario de lectura-escritura al sistema de archivos del host con privilegios de root, porque daemon/archive.go no genera operaciones de archivo en un filesystem congelado (o desde dentro de una operación chroot).
Vulnerabilidad en Productos de Snapdragon (CVE-2018-13918)
Gravedad:
HighHigh
Fecha publicación : 04/04/2019
Última modificación:
05/29/2019
Descripción:
El kernel podría devolver un mensaje recibido con una longitud superior a lo esperado, lo cual conduce a un desbordamiento de búfer en una operación posterior y detiene el funcionamiento normal en Snapdragon Auto, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Wearables, en versiones MDM9150, MDM9206, MDM9607, MDM9650, MSM8909W, QCS605, Qualcomm 215, SD 425, SD 439 / SD 429, SD 450, SD 625, SD 632, SD 675, SD 712 / SD 710 / SD 670, SD 820A, SD 835, SD 845 / SD 850, SD 855, SDM439, SDX24 y SM7150
Vulnerabilidad en Productos de Snapdragon (CVE-2018-11958)
Gravedad:
Medium Medium
Fecha publicación : 04/04/2019
Última modificación:
10/02/2019
Descripción:
Una protección insuficiente de las teclas en el teclado puede provocar que los sistemas operativos de alto nivel (HLOS) obtengan acceso a datos confidenciales de entradas de teclado en Snapdragon Auto, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile y Snapdragon Voice Music, en versiones MDM9206, MDM9607, MDM9650 y MDM9655; Qualcomm, en versiones, 215, SD 210/SD 212/SD 205, SD 410/12, SD 425, SD 427, SD 430, SD 435, SD 439 / SD 429, SD 450, SD 615/16/SD 415, SD 625, SD 632, SD 636, SD 650/52, SDA660, SDM439, SDM630, SDM660 y Snapdragon_High_Med_2016.
Vulnerabilidad en VMware Workstation y Fusion (CVE-2019-5515)
Gravedad:
HighHigh
Fecha publicación : 04/02/2019
Última modificación:
05/29/2019
Descripción:
Las actualizaciones de VMware Workstation (en las versiones 15.x anteriores a a la 15.0.3, y las 14.x anteriores a la 14.1.6) y de Fusion (en las versiones 11.x anteriores a a la 11.0.3, y las 10.x anteriores a la 10.1.6) abordan una vulnerabilidad de escritura fuera de límites en los adaptadores de red virtual e1000 y e1000e. La explotación de este problema podría conducir a una ejecución de código en el host desde el invitado, pero es más probable que resulte en una denegación de servicio (DoS) de esta..
Vulnerabilidad en Kubernetes (CVE-2018-2475)
Gravedad:
Medium Medium
Fecha publicación : 10/09/2018
Última modificación:
08/24/2020
Descripción:
Siguiendo la arquitectura de Gardener, el apiserver de Kubernetes de una semilla del clúster gestionado por Gardener reside en la semilla del clúster correspondiente. Debido a la falta de aislamiento de la red, el apiserver de un "shoot" puede acceder a los servicios/endpoints de la red privada de su semilla del clúster correspondiente. En combinación con otros problemas de seguridad menores de Kubernetes, el aislamiento de la red ausente teóricamente puede comprometer otras semillas del clúster o "shoots" en el contexto "Gardener". Este problema se ha valorado como "alto" debido al gran impacto de una posible explotación en el contexto de "Gardener". Esto fue corregido en la versión 0.12.4 de Gardener.