Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Magento (CVE-2019-7942)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/07/2019
Descripción:
Se presenta una vulnerabilidad de ejecución de código remota en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un usuario autenticado con privilegios de administrador para crear o editar un producto puede ejecutar código arbitrario por medio de actualizaciones de diseño XML maliciosas.
Vulnerabilidad en Magento (CVE-2019-7930)
Gravedad:
HighHigh
Fecha publicación : 08/02/2019
Última modificación:
08/07/2019
Descripción:
Se presenta una omisión de restricción de carga de archivos en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un usuario autenticado con privilegios de administrador para la funcionalidad de importación puede realizar modificaciones a la configuración de un archivo, resultando en una potencial eliminación no autorizada de las restricciones de carga de archivos. Esto puede resultar en la ejecución de código arbitrario cuando un archivo malicioso se carga y ejecuta en el sistema.
Vulnerabilidad en Magento (CVE-2019-7929)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/07/2019
Descripción:
Se presenta una vulnerabilidad de filtrado de información en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Un usuario autenticado con privilegios de administrador puede visualizar metadatos de un dispositivo confiable usado por otro administrador por medio de una petición http diseñada.
Vulnerabilidad en Magento (CVE-2019-7928)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/07/2019
Descripción:
Se presenta una vulnerabilidad de denegación de servicio (DoS) en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Al abusar de las insuficientes defensas contra fuerza bruta en el protocolo de intercambio de tokens, un atacante no autenticado podría interrumpir las transacciones entre el comerciante de Magento y PayPal.
Vulnerabilidad en Magento (CVE-2019-7925)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/07/2019
Descripción:
Se presenta una vulnerabilidad de referencia directa a objetos no segura (IDOR) en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto puede ser explotado por un administrador con privilegios limitados para eliminar la carpeta de productos descargable.
Vulnerabilidad en Magento (CVE-2019-7923)
Gravedad:
Medium Medium
Fecha publicación : 08/02/2019
Última modificación:
08/07/2019
Descripción:
Se presenta una vulnerabilidad de tipo server-side request forgery (SSRF) en Magento versiones 2.1 anteriores a 2.1.18, Magento versiones 2.2 anteriores a 2.2.9, Magento versiones 2.3 anteriores a 2.3.2. Esto puede ser explotado por un usuario autenticado con privilegios de administrador para manipular la configuración de envío para ejecutar código arbitrario.
Vulnerabilidad en cPanel (CVE-2017-18419)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 66.0.2, permite un ataque de tipo XSS almacenado durante la desinstalación de cPAddons de WHM (SEC-266).
Vulnerabilidad en cPanel (CVE-2017-18417)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 66.0.2, permite un ataque de tipo XSS almacenado durante la instalación de WHM (SEC-263).
Vulnerabilidad en cPanel (CVE-2017-18418)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 66.0.2, permite un ataque de tipo XSS almacenado durante las operaciones de archivos de cPAddons de WHM (SEC-265).
Vulnerabilidad en cPanel (CVE-2017-18420)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 66.0.2, permite un ataque de tipo XSS almacenado durante el procesamiento de cPAddons de WHM (SEC-269).
Vulnerabilidad en cPanel (CVE-2017-18421)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 66.0.2, permite a las cuentas demo crear bases de datos y usuarios (SEC-271).
Vulnerabilidad en cPanel (CVE-2017-18423)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
En cPanel anterior a versión 66.0.2, los archivos de registro de dominio se vuelven legibles después del procesamiento de registro (SEC-273).
Vulnerabilidad en cPanel (CVE-2017-18424)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
En cPanel anterior a versión 66.0.2, el archivo de configuración del Servidor HTTP de Apache se cambia a legible para todo el mundo cuando se reconstruye (SEC-274).
Vulnerabilidad en cPanel (CVE-2017-18422)
Gravedad:
LowLow
Fecha publicación : 08/02/2019
Última modificación:
08/05/2019
Descripción:
En cPanel anterior a versión 66.0.2, la conversión EasyApache 4 establece una propiedad y permisos de domlog débiles (SEC-272).
Vulnerabilidad en cPanel (CVE-2016-10818)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 57.9999.54, establece incorrectamente los permisos de archivos de registro en el arranque de dnsadmin y arranque de spamd (SEC-124).
Vulnerabilidad en cPanel (CVE-2016-10827)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/07/2019
Descripción:
cPanel anterior a versión 55.9999.141, permite un ataque de tipo XSS auto almacenado en Edit System Mail Preferences de WHM (SEC-96).
Vulnerabilidad en cPanel (CVE-2016-10822)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/07/2019
Descripción:
cPanel anterior a versión 55.9999.141, permite un ataque de tipo XSS propio en Branding Images de Reseller X3 (SEC-88).
Vulnerabilidad en cPanel (CVE-2018-20935)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/07/2019
Descripción:
cPanel anterior a versión 70.0.23, permite un ataque de tipo XSS almacenado por medio de una acción "Reset a DNS Zone" WHM (SEC-412).
Vulnerabilidad en Adenion (CVE-2019-13572)
Gravedad:
HighHigh
Fecha publicación : 08/01/2019
Última modificación:
08/13/2019
Descripción:
El plugin Blog2Social de Adenion hasta versión 5.5.0, para WordPress, permite un ataque de inyección SQL.
Vulnerabilidad en cPanel (CVE-2018-20914)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/02/2019
Descripción:
En cPanel anterior a versión 70.0.23, los proveedores de OpenID pueden inyectar datos arbitrarios en los archivos de sesión de cPanel (SEC-368).
Vulnerabilidad en cPanel (CVE-2018-20923)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/01/2019
Descripción:
cPanel anterior a versión 70.0.23, permite un ataque de tipo XSS almacenado por medio de una acción Synchronize DNS Records de WHM (SEC-377).
Vulnerabilidad en cPanel (CVE-2018-20922)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/01/2019
Descripción:
cPanel anterior a versión 70.0.23, permite un ataque de tipo XSS almacenado por medio de una acción DNS Cleanup de WHM (SEC-376).
Vulnerabilidad en cPanel (CVE-2018-20921)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/01/2019
Descripción:
cPanel anterior a versión 70.0.23, permite un ataque de tipo XSS almacenado por medio de una acción "Delete a DNS Zone" de WHM (SEC-375).
Vulnerabilidad en cPanel (CVE-2018-20920)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/01/2019
Descripción:
cPanel anterior a versión 70.0.23, permite un ataque de tipo XSS almacenado por medio de una acción Edit DNS Zone de WHM (SEC-374).
Vulnerabilidad en cPanel (CVE-2018-20919)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/01/2019
Descripción:
cPanel anterior a versión 70.0.23, permite un ataque de tipo XSS almacenado por medio de una acción Create Account de WHM (SEC-373).
Vulnerabilidad en cPanel (CVE-2018-20918)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/01/2019
Descripción:
cPanel anterior a versión 70.0.23, permite un ataque de tipo XSS almacenado en Clúster DNS de WHM (SEC-372).
Vulnerabilidad en cPanel (CVE-2018-20917)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/01/2019
Descripción:
cPanel anterior a versión 70.0.23, permite a cualquier usuario deshabilitar Solr (SEC-371).
Vulnerabilidad en Edit MX Entry de WHM (CVE-2018-20916)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/01/2019
Descripción:
cPanel anterior a la versión 70.0.23, permite un ataque de tipo XSS Almacenado por medio de una Edit MX Entry de WHM (SEC-370).
Vulnerabilidad en cPanel (CVE-2018-20903)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/02/2019
Descripción:
cPanel anterior a versión 71.9980.37, permite un ataque de tipo auto XSS en la interfaz Backup Configuration de WHM (SEC-421).
Vulnerabilidad en cPanel (CVE-2015-9291)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/07/2019
Descripción:
cPanel anterior a versión 11.52.0.13, no impide operaciones arbitrarias de lectura de archivos por medio de la función get_information_for_applications (CPANEL-1221).
Vulnerabilidad en cPanel (CVE-2016-10850)
Gravedad:
HighHigh
Fecha publicación : 08/01/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 11.54.0.4, permite la ejecución de código arbitrario por medio del archivo scripts/synccpaddonswithsqlhost (SEC-83).
Vulnerabilidad en cPanel (CVE-2016-10851)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 11.54.0.4, permite un ataque de tipo XSS propio en la interfaz PHP Configuration Editor de WHM (SEC-84).
Vulnerabilidad en cPanel (CVE-2016-10854)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 11.54.0.4, permite un ataque de tipo XSS propio en la interfaz Entropy Banner de X3 (SEC-87).
Vulnerabilidad en cPanel (CVE-2016-10855)
Gravedad:
HighHigh
Fecha publicación : 08/01/2019
Última modificación:
08/05/2019
Descripción:
cPanel anterior a versión 11.54.0.4, permite la ejecución de código arbitraria no autenticada por medio de cpsrvd (SEC-91).
Vulnerabilidad en cPanel (CVE-2018-20901)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/02/2019
Descripción:
cPanel anterior a versión 71.9980.37, permite un ataque de tipo XSS Almacenado y Remoto en Interfaz Save Theme de WHM (SEC-400).
Vulnerabilidad en cPanel (CVE-2018-20902)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/02/2019
Descripción:
cPanel anterior a versión 71.9980.37, permite a los atacantes leer el archivo crontab de root mediante el aprovechamiento de la instalación de ClamAV (SEC-408).
Vulnerabilidad en Edit DNS Zone de WHM (CVE-2018-20915)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/01/2019
Descripción:
cPanel anterior a versión 70.0.23, permite un ataque de tipo XSS almacenado por medio de una acción Edit DNS Zone de WHM (SEC-369).
Vulnerabilidad en cPanel (CVE-2018-20904)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/07/2019
Descripción:
cPanel anterior a versión 71.9980.37, permite a los atacantes realizar llamadas de la API que omiten la restricción de la funcionalidad cron (SEC-427).
Vulnerabilidad en cPanel (CVE-2018-20905)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/07/2019
Descripción:
cPanel anterior a versión 71.9980.37, permite a los atacantes realizar llamadas de la API que omiten la restricción de la funcionalidad backup (SEC-429).
Vulnerabilidad en cPanel (CVE-2018-20906)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/07/2019
Descripción:
cPanel anterior a versión 71.9980.37, permite a los atacantes realizar llamadas de la API que omiten la restricción de la funcionalidad images (SEC-430).
Vulnerabilidad en cPanel (CVE-2018-20907)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/07/2019
Descripción:
cPanel anterior a versión 71.9980.37, no aplica la restricción de la funcionalidad API de la función Mime::list_hotlinks (SEC-432).
Vulnerabilidad en cPanel (CVE-2018-20908)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/07/2019
Descripción:
cPanel anterior a versión 71.9980.37, permite operaciones de lectura de archivos arbitrarias durante el manejo de plantilla personalizada de pkgacct (SEC-435).
Vulnerabilidad en cPanel (CVE-2018-20909)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/07/2019
Descripción:
cPanel anterior a versión 70.0.23, permite operaciones file-chmod arbitrarias durante el legado de copias de seguridad de tipo incremental (SEC-338).
Vulnerabilidad en interfaz de seguridad de show WHPA cPAddons (CVE-2018-20910)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/01/2019
Descripción:
cPanel anterior de la versión 70.0.23 permite auto XSS en la interfaz de seguridad de show WHPA cPAddons (SEC-357).
Vulnerabilidad en cPanel (CVE-2018-20911)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/02/2019
Descripción:
cPanel anterior a versión 70.0.23, permite la ejecución de código debido a que un "." está en @INC durante una comprobación de sintaxis de Perl de cpaddonsup (SEC-359).
Vulnerabilidad en cPanel (CVE-2018-20912)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/02/2019
Descripción:
cPanel anterior a versión 70.0.23, permite que las cuentas demo ejecuten código por medio de awstats (SEC-362).
Vulnerabilidad en cPanel (CVE-2018-20913)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/02/2019
Descripción:
cPanel anterior a versión 70.0.23, permite a los atacantes leer accesshash de root por medio del archivo /cgi/trustclustermaster.cgi de WHM (SEC-364).
Vulnerabilidad en cPanel (CVE-2018-20896)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/07/2019
Descripción:
cPanel anterior a versión 71.9980.37, permite un ataque de inyección de código en la interfaz cPAddons de WHM (SEC-394).
Vulnerabilidad en cPanel (CVE-2018-20895)
Gravedad:
Medium Medium
Fecha publicación : 08/01/2019
Última modificación:
08/07/2019
Descripción:
En cPanel anterior a versión 71.9980.37, los tokens de la API conservan las ACL después de que esas ACL son removidas de las cuentas correspondientes (SEC-393).
Vulnerabilidad en cPanel (CVE-2018-20894)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/07/2019
Descripción:
cPanel anterior a versión 74.0.0, hace que el contenido del sitio web sea accesible para otros usuarios locales por medio de repositorios Git (SEC-443).
Vulnerabilidad en cPanel (CVE-2018-20889)
Gravedad:
LowLow
Fecha publicación : 08/01/2019
Última modificación:
08/07/2019
Descripción:
cPanel anterior a versión 74.0.0, permite ciertas operaciones de lectura de archivos por medio del almacenamiento en caché de archivos de contraseña (SEC-425).
Vulnerabilidad en cPanel permite la inyeccion de SQL (CVE-2018-20887)
Gravedad:
HighHigh
Fecha publicación : 08/01/2019
Última modificación:
08/01/2019
Descripción:
cPanel anterior de la versión 74.0.0 permite la inyección de SQL durante las copias de seguridad de la base de datos (SEC-420).
Vulnerabilidad en Vulnerabilidad en Univa Grid Engine (CVE-2018-20871)
Gravedad:
Medium Medium
Fecha publicación : 07/30/2019
Última modificación:
08/07/2019
Descripción:
En Univa Grid Engine anterior a versión 8.6.3, cuando es configurado para trabajos Docker y spooling execd sobre root_squash, en ciertos casos se presentan permisos de archivos débiles ("other" acceso de escritura) (GE-6890).