Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Magento (CVE-2019-7867)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto puede ser explotado por un usuario autenticado con acceso para administrar pedidos y estado de pedido.
Vulnerabilidad en Magento (CVE-2019-7855)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Un fallo criptográfico en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2, podría ser abusado por un usuario no autenticado para detectar un invariante utilizado en la generación de tarjetas de regalo.
Vulnerabilidad en Magento (CVE-2019-7857)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2, puede causar que elementos no deseados sean agregados al carrito del comprador debido a una implementación de token anti-CSRF insuficientemente robusto.
Vulnerabilidad en Magento (CVE-2019-7858)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Un fallo criptográfico en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9 y Magento versiones 2.3 anteriores a 2.3.2, resultó en el almacenamiento de información confidencial con un algoritmo que no es lo suficientemente resistente a los ataques de fuerza bruta.
Vulnerabilidad en Magento (CVE-2019-7859)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Una vulnerabilidad de salto de ruta (path) en el editor WYSIWYG para Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2, podría resultar el acceso no autorizado a las imágenes cargadas debido a un control de acceso insuficiente.
Vulnerabilidad en Magento (CVE-2019-7860)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se utiliza un generador de números pseudoaleatorio criptográficamente débil en múltiples contextos relevantes para la seguridad en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2.
Vulnerabilidad en Magento (CVE-2019-7861)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
La comprobación insuficiente del lado del servidor de la entrada de usuario podría permitir a un atacante omitir las restricciones de carga de archivos en Magento versiones 2.1 anteriores a 2.1.18, Magento 2.2 anteriores a 2.2.9, Magento 2.3 anteriores a 2.3.2.
Vulnerabilidad en Magento (CVE-2019-7862)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting reflejado en la funcionalidad del selector de widgets del Producto en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2.
Vulnerabilidad en Magento (CVE-2019-7863)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración para Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto puede ser explotado por un usuario autenticado con acceso a productos y categorías.
Vulnerabilidad en Magento (CVE-2019-7864)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de referencia directa a objetos no segura (IDOR) en las fuentes RSS de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto puede conllevar a un acceso no autorizado a los detalles del pedido.
Vulnerabilidad en Magento (CVE-2019-7865)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site request forgery (CSRF) en el ítem carrito de compra de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado al momento de la edición o configuración.
Vulnerabilidad en Magento (CVE-2019-7866)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto puede ser explotado por un usuario autenticado con acceso para editar la información del producto por medio del editor TinyMCE.
Vulnerabilidad en Magento (CVE-2019-7854)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Una vulnerabilidad de referencia directa a objetos no segura (IDOR) en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2, puede conllevar a la divulgación no autorizada de los detalles del historial crediticio de la compañía.
Vulnerabilidad en Magento (CVE-2019-7868)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto puede ser explotado por un usuario autenticado con permisos para administrar reglas de impuestos.
Vulnerabilidad en Magento (CVE-2019-7869)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto puede ser explotado por un usuario autenticado con permisos para administrar grupos de clientes.
Vulnerabilidad en Magento (CVE-2019-7877)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un usuario autenticado con privilegios para administrar pedidos puede inyectar javascript malicioso.
Vulnerabilidad en Magento (CVE-2019-7880)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios para comercializar plantillas de correo electrónico para inyectar JavaScript malicioso.
Vulnerabilidad en Magento (CVE-2019-7908)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios para modificar la información de producto.
Vulnerabilidad en Magento (CVE-2019-7921)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el formulario del catálogo de productos de Magento 2.1 anterior a 2.1.18, Magento 2.2 anterior a 2.2.9, Magento 2.3 anterior a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios al catálogo de productos para inyectar JavaScript malicioso.
Vulnerabilidad en Magento (CVE-2019-7926)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios para modificar los atributos de nodo para inyectar JavaScript malicioso.
Vulnerabilidad en Magento (CVE-2019-7927)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios para editar páginas de contenido de producto para inyectar JavaScript malicioso.
Vulnerabilidad en Magento (CVE-2019-7936)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios para modificar los títulos de bloque de contenido para inyectar JavaScript malicioso.
Vulnerabilidad en Magento (CVE-2019-7937)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting almacenado en el panel de administración de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios para almacenar los atributos de producto para inyectar JavaScript malicioso.
Vulnerabilidad en Magento (CVE-2019-7939)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de tipo cross-site scripting reflejada en la página de pago del carrito del cliente de Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado enviando a la víctima hacia una URL diseñada lo que resulte en la ejecución de JavaScript malicioso en el navegador de la víctima.
Vulnerabilidad en Magento (CVE-2019-7853)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de cross-site scripting almacenada en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto podría ser explotado por un usuario autenticado con privilegios para la configuración de notificaciones de impuestos en el panel de administración de Magento.
Vulnerabilidad en Magento (CVE-2019-7852)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Se presenta una vulnerabilidad de divulgación de ruta (path) en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Las peticiones para una ruta (path) de archivo específica podrían resultar en un redireccionamiento hacia la URL del panel de administración de Magento, revelando su ubicación a partes potencialmente no autorizadas.
Vulnerabilidad en Magento (CVE-2019-7851)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery en Magento versiones 2.1 anteriores a 2.1.18, Magento 2.2 anteriores a 2.2.9, Magento 2.3 anteriores a 2.3.2, puede conllevar a la eliminación involuntaria de datos desde las páginas de cliente.
Vulnerabilidad en GnuCOBOL (CVE-2019-14541)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
GnuCOBOL versión 2.2, presenta un desbordamiento de búfer en la región stack de la memoria en la función cb_encode_program_id en el archivo cobc/typeck.c por medio de un código fuente COBOL diseñado.
Vulnerabilidad en cPanel (CVE-2017-18463)
Gravedad:
HighHigh
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
cPanel anterior a versión 62.0.17, permite la ejecución de código en el contexto de la cuenta root por medio de una ruta (path) de DocumentRoot larga (SEC-225).
Vulnerabilidad en cPanel (CVE-2017-18458)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
cPanel anterior a versión 62.0.17, permite la sobrescritura de archivos al renombrar una cuenta (SEC-219).
Vulnerabilidad en cPanel (CVE-2017-18454)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/06/2019
Descripción:
cPanel anterior a versión 62.0.24, permite un ataque de tipo XSS almacenado en la interfaz de instalación cPAddons de WHM (SEC-262).
Vulnerabilidad en cPanel (CVE-2017-18453)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 64.0.21, no conserva los grupos suplementarios tras los cambios de nombre de cuenta (SEC-260).
Vulnerabilidad en cPanel (CVE-2017-18452)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/14/2019
Descripción:
cPanel anterior a versión 64.0.21, permite la ejecución de código por medio de archivos de configuración de Rails (SEC-259).
Vulnerabilidad en cPanel (CVE-2017-18451)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 64.0.21, permite a los atacantes leer el archivo crontab de un usuario durante un intervalo de tiempo corto sobre una actualización de cPAddon (SEC-257).
Vulnerabilidad en cPanel (CVE-2017-18440)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 64.0.21, permite a los usuarios demo ejecutar traceroute por medio de la api2 (SEC-244).
Vulnerabilidad en cPanel (CVE-2017-18424)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
En cPanel anterior a versión 66.0.2, el archivo de configuración del Servidor HTTP de Apache se cambia a legible para todo el mundo cuando se reconstruye (SEC-274).
Vulnerabilidad en cPanel (CVE-2017-18417)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 66.0.2, permite un ataque de tipo XSS almacenado durante la instalación de WHM (SEC-263).
Vulnerabilidad en cPanel (CVE-2017-18418)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 66.0.2, permite un ataque de tipo XSS almacenado durante las operaciones de archivos de cPAddons de WHM (SEC-265).
Vulnerabilidad en cPanel (CVE-2017-18419)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 66.0.2, permite un ataque de tipo XSS almacenado durante la desinstalación de cPAddons de WHM (SEC-266).
Vulnerabilidad en cPanel (CVE-2017-18420)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 66.0.2, permite un ataque de tipo XSS almacenado durante el procesamiento de cPAddons de WHM (SEC-269).
Vulnerabilidad en cPanel (CVE-2017-18421)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 66.0.2, permite a las cuentas demo crear bases de datos y usuarios (SEC-271).
Vulnerabilidad en cPanel (CVE-2017-18422)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
En cPanel anterior a versión 66.0.2, la conversión EasyApache 4 establece una propiedad y permisos de domlog débiles (SEC-272).
Vulnerabilidad en cPanel (CVE-2017-18423)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
En cPanel anterior a versión 66.0.2, los archivos de registro de dominio se vuelven legibles después del procesamiento de registro (SEC-273).
Vulnerabilidad en GNU (CVE-2019-1010025)
Gravedad:
Medium Medium
Fecha publicación : 07/15/2019
Última modificación:
08/05/2019
Descripción:
** EN DISPUTA **La biblioteca Libc actual de GNU está afectada por: Omisión de Mitigación. El impacto es: el atacante puede adivinar las direcciones heap del subproceso (hilo) pthread_created. El componente es: glibc.NOTA: la posición del proveedor es "ASLR bypass en sí mismo no es una vulnerabilidad".
Vulnerabilidad en La validación incorrecta de las extensiones de archivo al cargar archivos (CVE-2019-7669)
Gravedad:
HighHigh
Fecha publicación : 07/01/2019
Última modificación:
02/10/2020
Descripción:
Prima Systems FlexAir, versiones 2.3.38 y anteriores. La validación incorrecta de las extensiones de archivo al cargar archivos podría permitir que un atacante autenticado remoto cargue y ejecute aplicaciones maliciosas dentro de la raíz web de la aplicación con privilegios de root.
Vulnerabilidad en Prima Systems FlexAir (CVE-2019-7667)
Gravedad:
Medium Medium
Fecha publicación : 07/01/2019
Última modificación:
07/31/2019
Descripción:
Prima Systems FlexAir, en la version 2.3.38 y anteriores. La aplicación genera archivos de respaldo de la base de datos con un nombre predecible, y un atacante puede forzar para identificar el nombre del archivo de respaldo de la base de datos. Un actor malintencionado puede explotar este problema para descargar el archivo de la base de datos y divulgar información de inicio de sesión, lo que puede permitir al atacante omitir la autenticación y tener acceso completo al sistema.
Vulnerabilidad en Prima Systems FlexAir (CVE-2019-7281)
Gravedad:
Medium Medium
Fecha publicación : 07/01/2019
Última modificación:
07/31/2019
Descripción:
Prima Systems FlexAir, en la versión 2.3.38 y anteriores. Un usuario no autenticado puede enviar solicitudes HTTP no verificadas, lo que puede permitir al atacante realizar ciertas acciones con privilegios administrativos si un usuario conectado visita un sitio web malicioso.
Vulnerabilidad en Prima Systems FlexAir (CVE-2019-7671)
Gravedad:
LowLow
Fecha publicación : 06/05/2019
Última modificación:
02/10/2020
Descripción:
Prima Systems FlexAir, versiones 2.3.38 y anteriores. Los parámetros enviados a los scripts no se desinfectan correctamente antes de devolverse al usuario, lo que puede permitir que un atacante ejecute código arbitrario en la sesión del navegador de un usuario en el contexto de un sitio afectado.