Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el archivo install/index.php en el parámetro servername en HongCMS (CVE-2019-17607)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
HongCMS versión 3.0.0, presenta una vulnerabilidad de tipo XSS por medio del parámetro servername del archivo install/index.php.
Vulnerabilidad en el archivo install/index.php en el parámetro dbname en HongCMS (CVE-2019-17608)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
HongCMS versión 3.0.0, presenta una vulnerabilidad de tipo XSS por medio del parámetro dbname del archivo install/index.php.
Vulnerabilidad en el archivo install/index.php en el parámetro dbusername en HongCMS (CVE-2019-17609)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
HongCMS versión 3.0.0, presenta una vulnerabilidad de tipo XSS por medio del parámetro dbusername del archivo install/index.php.
Vulnerabilidad en el archivo install/index.php en el parámetro dbpassword en HongCMS (CVE-2019-17610)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
HongCMS versión 3.0.0, presenta una vulnerabilidad de tipo XSS por medio del parámetro dbpassword del archivo install/index.php.
Vulnerabilidad en el archivo install/index.php en el parámetro tableprefix en HongCMS (CVE-2019-17611)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
HongCMS versión 3.0.0, presenta una vulnerabilidad de tipo XSS por medio del parámetro tableprefix del archivo install/index.php.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15240)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Múltiples vulnerabilidades en los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podrían permitir a un atacante adyacente autenticado ejecutar código arbitrario con privilegios elevados. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades al autenticarse en la interfaz de administración basada en web y enviando peticiones diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios elevados. Nota: La interfaz de administración basada en web está habilitada por defecto.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15241)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Múltiples vulnerabilidades en los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podrían permitir a un atacante adyacente autenticado ejecutar código arbitrario con privilegios elevados. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades al autenticarse en la interfaz de administración basada en web y enviando peticiones diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios elevados. Nota: La interfaz de administración basada en web está habilitada por defecto.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15242)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Múltiples vulnerabilidades en los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podrían permitir a un atacante adyacente autenticado ejecutar código arbitrario con privilegios elevados. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades al autenticarse en la interfaz de administración basada en web y enviando peticiones diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios elevados. Nota: La interfaz de administración basada en web está habilitada por defecto.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15243)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Múltiples vulnerabilidades en los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podrían permitir a un atacante adyacente autenticado ejecutar código arbitrario con privilegios elevados. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades al autenticarse en la interfaz de administración basada en web y enviando peticiones diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios elevados. Nota: La interfaz de administración basada en web está habilitada por defecto.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15244)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Múltiples vulnerabilidades en los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podrían permitir a un atacante adyacente autenticado ejecutar código arbitrario con privilegios elevados. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades al autenticarse en la interfaz de administración basada en web y enviando peticiones diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios elevados. Nota: La interfaz de administración basada en web está habilitada por defecto.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15245)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Múltiples vulnerabilidades en los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podrían permitir a un atacante adyacente autenticado ejecutar código arbitrario con privilegios elevados. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades al autenticarse en la interfaz de administración basada en web y enviando peticiones diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios elevados. Nota: La interfaz de administración basada en web está habilitada por defecto.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15246)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Múltiples vulnerabilidades en los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podrían permitir a un atacante adyacente autenticado ejecutar código arbitrario con privilegios elevados. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades al autenticarse en la interfaz de administración basada en web y enviando peticiones diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios elevados. Nota: La interfaz de administración basada en web está habilitada por defecto.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15247)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Múltiples vulnerabilidades en los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podrían permitir a un atacante adyacente autenticado ejecutar código arbitrario con privilegios elevados. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades al autenticarse en la interfaz de administración basada en web y enviando peticiones diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios elevados. Nota: La interfaz de administración basada en web está habilitada por defecto.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15248)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Múltiples vulnerabilidades en los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podrían permitir a un atacante adyacente autenticado ejecutar código arbitrario con privilegios elevados. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades al autenticarse en la interfaz de administración basada en web y enviando peticiones diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios elevados. Nota: La interfaz de administración basada en web está habilitada por defecto.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15249)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Múltiples vulnerabilidades en los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podrían permitir a un atacante adyacente autenticado ejecutar código arbitrario con privilegios elevados. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades al autenticarse en la interfaz de administración basada en web y enviando peticiones diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios elevados. Nota: La interfaz de administración basada en web está habilitada por defecto.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15250)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Múltiples vulnerabilidades en los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podrían permitir a un atacante adyacente autenticado ejecutar código arbitrario con privilegios elevados. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades al autenticarse en la interfaz de administración basada en web y enviando peticiones diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios elevados. Nota: La interfaz de administración basada en web está habilitada por defecto.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15251)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Múltiples vulnerabilidades en los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podrían permitir a un atacante adyacente autenticado ejecutar código arbitrario con privilegios elevados. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades al autenticarse en la interfaz de administración basada en web y enviando peticiones diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios elevados. Nota: La interfaz de administración basada en web está habilitada por defecto.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15252)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Múltiples vulnerabilidades en los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podrían permitir a un atacante adyacente autenticado ejecutar código arbitrario con privilegios elevados. Las vulnerabilidades son debido a una comprobación inapropiada de la entrada suministrada por el usuario en la interfaz de administración basada en web. Un atacante podría explotar estas vulnerabilidades al autenticarse en la interfaz de administración basada en web y enviando peticiones diseñadas hacia un dispositivo afectado. Una explotación con éxito podría permitir al atacante ejecutar código arbitrario con privilegios elevados. Nota: La interfaz de administración basada en web está habilitada por defecto.
Vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs) (CVE-2019-15258)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de los dispositivos Cisco SPA100 Series Analog Telephone Adapters (ATAs), podría permitir a un atacante remoto autenticado causar una condición de denegación de servicio en un dispositivo afectado. La vulnerabilidad es debido a una comprobación inapropiada de las peticiones suministradas por el usuario en la interfaz de administración basada en web. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición diseñada hacia la interfaz de administración basada en web de un dispositivo afectado. Una explotación con éxito podría permitir al atacante causar que el dispositivo deje de responder, requiriendo intervención manual para la recuperación.
Vulnerabilidad en el componente Core RDBMS de Oracle Database Server (CVE-2018-2875)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/17/2019
Descripción:
Vulnerabilidad en el componente Core RDBMS de Oracle Database Server. Las versiones compatibles que se ven afectadas son 12.2.0.1, 18c y 19c. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado tener el privilegio de Crear Sesión con acceso a la red por medio de OracleNet para comprometer el Core RDBMS. Aunque la vulnerabilidad se encuentra en Core RDBMS, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en acceso de lectura no autorizado a un subconjunto de datos accesibles Core RDBMS. CVSS 3.0 Puntuación Base 5.0 (Impactos de confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N).
Vulnerabilidad en el producto Oracle Retail Xstore Office de Oracle Retail Applications (CVE-2018-3300)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/17/2019
Descripción:
Vulnerabilidad en el producto Oracle Retail Xstore Office de Oracle Retail Applications (componente: Internal Operations). La versión compatible que está afectada es la 7.1. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado y acceso a la red por medio de HTTP comprometer Oracle Retail Xstore Office. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Retail Xstore Office, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Retail Xstore Office. CVSS 3.0 Puntuación Base 5.4 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N).
Vulnerabilidad en el URI /admin/mails.php?action=edit en la funcionalidad "outgoing email setup" en Dolibarr (CVE-2019-17576)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Se detectó un problema en Dolibarr versión 10.0.2. tiene un vulnerabilidad de tipo XSS por medio de la funcionalidad "outgoing email setup" en el URI /admin/mails.php?action=edit por medio del campo "Send all emails to (instead of real recipients, for test purposes)".
Vulnerabilidad en el URI admin/mails.php?action=edit en la funcionalidad "outgoing email setup" en Dolibarr (CVE-2019-17577)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Se descubrió un problema en Dolibarr versión 10.0.2. Presenta un vulnerabilidad de tipo XSS por medio de la funcionalidad "outgoing email setup" en el URI admin/mails.php?action=edit por medio del campo "Email used for error returns emails (fields 'Errors-To' in emails sent)".
Vulnerabilidad en el URI admin/mails.php?action=edit en la funcionalidad "outgoing email setup" en Dolibarr. (CVE-2019-17578)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Se detectó un problema en Dolibarr versión 10.0.2. Presenta un vulnerabilidad de tipo XSS por medio de la funcionalidad "outgoing email setup" en el URI admin/mails.php?action=edit por medio del campo "Sender email for automatic emails (default value in php.ini: Undefined)".
Vulnerabilidad en el componente Core RDBMS de Oracle Database Server. (CVE-2019-2734)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/17/2019
Descripción:
Una vulnerabilidad en el componente Core RDBMS de Oracle Database Server. Las versiones compatibles que están afectadas son 12.2.0.1, 18c y 19c. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado tener el privilegio de Crear Sesión, Ejecutar en DBMS_ADVISOR con acceso a la red por medio de OracleNet para comprometer a Core RDBMS. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Core RDBMS. CVSS 3.0 Puntuación Base 4.3 (Impactos de la Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N).
Vulnerabilidad en El producto Oracle Solaris de Oracle Systems (CVE-2019-2765)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/17/2019
Descripción:
Una vulnerabilidad en el producto Oracle Solaris de Oracle Systems (componente: Filesystem). Las versiones compatibles que están afectadas son 10 y 11. Una vulnerabilidad difícil de explotar permite a un atacante poco privilegiado con inicio de sesión en la infraestructura donde es ejecutado Oracle Solaris comprometer a Oracle Solaris. Aunque la vulnerabilidad se encuentre en Oracle Solaris, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Solaris, así como también el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Solaris y en la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Solaris. CVSS 3.0 Puntuación básica 5.3 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:L)
Vulnerabilidad en el producto Oracle Retail Xstore Point of Service de Oracle Retail Applications (CVE-2019-2872)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
10/17/2019
Descripción:
Una vulnerabilidad en el producto Oracle Retail Xstore Point of Service de Oracle Retail Applications (componente: Point of Sale). Las versiones compatibles afectadas son 17.0.3, 18.0.1 y 19.0.0. Una vulnerabilidad difícil de explotar permite que el acceso físico comprometa a Oracle Retail Xstore Point of Service. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Retail Xstore Point of Service, así como también el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Retail Xstore Point of Service. CVSS 3.0 Puntuación Base 2.7 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:P/AC:H/PR:H/UI:R/S:U/C:L/I:L/A:N).
Vulnerabilidad en el producto Oracle Retail Customer Management and Segmentation Foundation de Oracle Retail Applications (CVE-2019-2883)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/17/2019
Descripción:
Una vulnerabilidad en el producto Oracle Retail Customer Management and Segmentation Foundation de Oracle Retail Applications (componente: Segment). La versión compatible que está afectada es la 17.0. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Retail Customer Management and Segmentation Foundation. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Retail Customer Management and Segmentation Foundation, así como también el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Retail Customer Management and Segmentation Foundation. CVSS 3.0 Puntuación Base 4.6 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N).
Vulnerabilidad en el producto Oracle Retail Customer Management and Segmentation Foundation de Oracle Retail Applications (CVE-2019-2884)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle Retail Customer Management and Segmentation Foundation de Oracle Retail Applications (componente: Segment). La versión compatible que está afectada es la 17.0. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Retail Customer Management and Segmentation Foundation. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Oracle Retail Customer Management and Segmentation Foundation. CVSS 3.0 Puntuación Base 5.9 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en el producto Oracle Forms de Oracle Fusion Middleware (CVE-2019-2886)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle Forms de Oracle Fusion Middleware (componente: Services). La versión compatible que está afectada es 12.2.1.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no identificado con acceso a la red por medio de HTTP comprometer a Oracle Forms. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en Oracle Forms, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Forms, así como también el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Forms. CVSS 3.0 Puntuación Base 6.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2019-2887)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Web Services). Las versiones compatibles que están afectadas son 10.3.6.0.0, 12.1.3.0.0 y 12.2.1.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer a Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle WebLogic Server. CVSS 3.0 Puntuación Base 4.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en en el producto Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2019-2888)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: EJB Container). Las versiones compatibles que están afectadas son 10.3.6.0.0, 12.1.3.0.0 y 12.2.1.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle WebLogic Server. CVSS 3.0 Puntuación Base 5.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2019-2889)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Sample apps). La versión compatible que está afectada es 12.2.1.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle WebLogic Server. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en Oracle WebLogic Server, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle WebLogic Server, así como también el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle WebLogic Server. CVSS 3.0 Puntuación Base 6.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2019-2890)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Web Services). Las versiones compatibles que están afectadas son 10.3.6.0.0, 12.1.3.0.0 y 12.2.1.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de T3 comprometer a Oracle WebLogic Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server. CVSS 3.0 Puntuación Base 7.2 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (CVE-2019-2897)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Analytics Actions). Las versiones compatibles que están afectadas son 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer a Oracle Business Intelligence Enterprise Edition. Aunque la vulnerabilidad se encuentre en Oracle Business Intelligence Enterprise Edition, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Business Intelligence Enterprise Edition, así como también el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Business Intelligence Enterprise Edition. CVSS 3.0 Puntuación Base 6.4 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N).
Vulnerabilidad en el producto BI Publisher (anteriormente XML Publisher) (CVE-2019-2898)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto BI Publisher (anteriormente XML Publisher) de Oracle Fusion Middleware (componente: BI Publisher Security). Las versiones compatibles que están afectadas son 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado y con acceso a la red por medio de HTTP comprometer BI Publisher (anteriormente XML Publisher). Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de BI Publisher (anteriormente XML Publisher). CVSS 3.0 Puntuación Base 4.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en el producto Oracle JDeveloper and ADF de Oracle Fusion Middleware (CVE-2019-2899)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
04/15/2020
Descripción:
Una vulnerabilidad en el producto Oracle JDeveloper and ADF de Oracle Fusion Middleware (componente: OAM). Las versiones compatibles que están afectadas son 11.1.1.9.0, 11.1.2.4.0, 12.1.3.0.0 y 12.2.1.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de HTTP comprometer a Oracle JDeveloper and ADF. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle JDeveloper and ADF. CVSS 3.0 Puntuación Base 2.4 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:U/C:L/I:N/A:N).
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (CVE-2019-2900)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Analytics Actions). Las versiones compatibles que están afectadas son 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Business Intelligence Enterprise Edition. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Oracle Business Intelligence Enterprise Edition. CVSS 3.0 Puntuación Base 7.5 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en en el producto Oracle Outside In Technology de Oracle Fusion Middleware (CVE-2019-2901)
Gravedad:
HighHigh
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.4. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Outside In Technology, así como también el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology y en la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y el puntaje CVSS dependen del software que utiliza el código de Outside In Technology. El puntaje CVSS supone que el software pasa los datos recibidos por medio de una red directamente al código de Outside In Technology, pero si los datos no son recibidos por medio de una red, el puntaje CVSS puede ser menor. CVSS 3.0 Puntuación Base 7.3 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L).
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (CVE-2019-2902)
Gravedad:
HighHigh
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.4. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Outside In Technology, así como también el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology y en la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y el puntaje CVSS dependen del software que utiliza el código de Outside In Technology. El puntaje CVSS supone que el software pasa los datos recibidos por medio de una red directamente al código de Outside In Technology, pero si los datos no son recibidos por medio de una red, el puntaje CVSS puede ser menor. CVSS 3.0 Puntuación Base 7.3 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L).
Vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (CVE-2019-2903)
Gravedad:
HighHigh
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle Outside In Technology de Oracle Fusion Middleware (componente: Outside In Filters). La versión compatible que está afectada es 8.5.4. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Outside In Technology. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Outside In Technology, así como también el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Outside In Technology y en la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle Outside In Technology. Nota: Outside In Technology es un conjunto de kits de desarrollo de software (SDK). El protocolo y el puntaje CVSS dependen del software que utiliza el código de Outside In Technology. El puntaje CVSS supone que el software pasa los datos recibidos por medio de una red directamente al código de Outside In Technology, pero si los datos no son recibidos por medio de una red, el puntaje CVSS puede ser menor. CVSS 3.0 Puntuación Base 7.3 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L).
Vulnerabilidad en el producto Oracle JDeveloper and ADF de Oracle Fusion Middleware (CVE-2019-2904)
Gravedad:
HighHigh
Fecha publicación : 10/16/2019
Última modificación:
12/19/2019
Descripción:
Una vulnerabilidad en el producto Oracle JDeveloper and ADF de Oracle Fusion Middleware (componente: ADF Faces). Las versiones compatibles que están afectadas son 11.1.1.9.0, 12.1.3.0.0 y 12.2.1.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle JDeveloper and ADF. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Oracle JDeveloper and ADF. CVSS 3.0 Puntuación Base 9.8 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H).
Vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (CVE-2019-2905)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle Business Intelligence Enterprise Edition de Oracle Fusion Middleware (componente: Installation). Las versiones compatibles que están afectadas son 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Business Intelligence Enterprise Edition. Aunque la vulnerabilidad se encuentre en Oracle Business Intelligence Enterprise Edition, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Oracle Business Intelligence Enterprise Edition. CVSS 3.0 Puntuación Base 8.6 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N).
Vulnerabilidad en el producto BI Publisher (anteriormente XML Publisher) de Oracle Fusion Middleware (CVE-2019-2906)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto BI Publisher (anteriormente XML Publisher) de Oracle Fusion Middleware (componente: Mobile Service). Las versiones compatibles que están afectadas son 11.1.1.9.0, 12.2.1.3.0 y 12.2.1.4.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a BI Publisher (anteriormente XML Publisher). Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en BI Publisher (anteriormente XML Publisher), los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de BI Publisher (anteriormente XML Publisher), así como también actualizar , insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de BI Publisher (anteriormente XML Publisher). CVSS 3.0 Puntuación Base 8.2 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N).
Vulnerabilidad en el producto Oracle Web Services de Oracle Fusion Middleware (CVE-2019-2907)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle Web Services de Oracle Fusion Middleware (componente: SOAP con API Attachments para Java). La versión compatible que está afectada es 12.2.1.3.0. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Web Services. Aunque la vulnerabilidad se encuentre en Oracle Web Services, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Web Services, así como también el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Web Services. CVSS 3.0 Puntuación Base 7.2 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N).
Vulnerabilidad en el componente Java VM de Oracle Database Server. (CVE-2019-2909)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/17/2019
Descripción:
Una vulnerabilidad en el componente Java VM de Oracle Database Server. Las versiones compatibles que están afectadas son 11.2.0.4, 12.1.0.2, 12.2.0.1, 18c y 19c. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a Java VM. Aunque la vulnerabilidad se encuentre en Java VM, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Java VM. CVSS 3.0 Puntuación Base 6.8 (Impactos de la Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N).
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (CVE-2019-2910)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/18/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Encryption). Las versiones compatibles que están afectadas son 5.6.45 y anteriores y 5.7.27 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server. CVSS 3.0 Puntuación Base 3.7 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (CVE-2019-2911)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/11/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Information Schema). Las versiones compatibles afectadas son 5.6.45 y anteriores, 5.7.27 y anteriores y 8.0.17 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server. CVSS 3.0 Puntuación Base 2.7 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en el componente Core RDBMS de Oracle Database Server. (CVE-2019-2913)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/17/2019
Descripción:
Una vulnerabilidad en el componente Core RDBMS de Oracle Database Server. Las versiones compatibles que están afectadas son 12.2.0.1, 18c y 19c. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado tener el privilegio de Crear Sesión con acceso a la red por medio de OracleNet para comprometer a Core RDBMS. Aunque la vulnerabilidad se encuentre en Core RDBMS, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Core RDBMS. CVSS 3.0 Puntuación Base 5.0 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N).
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (CVE-2019-2914)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/11/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Encryption). Las versiones compatibles afectadas son 5.7.27 y anteriores y 8.0.17 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Puntuación Base 6.5 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (CVE-2019-2915)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Fluid Core). Las versiones compatibles que están afectadas son 8.56 y 8.57. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a PeopleSoft Enterprise PeopleTools. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en PeopleSoft Enterprise PeopleTools, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de PeopleSoft Enterprise PeopleTools, así como también el acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise PeopleTools. CVSS 3.0 Puntuación Base 6.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en el producto de MySQL Connectors de Oracle (CVE-2019-2920)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/18/2019
Descripción:
Una vulnerabilidad en el producto de MySQL Connectors de Oracle MySQL (componente: Connector/ODBC). Las versiones compatibles afectadas son 5.3.13 y anteriores y 8.0.17 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Connectors. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una denegación de servicio parcial (DOS parcial) de MySQL Connectors. CVSS 3.0 Puntuación Base 5.3 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (CVE-2019-2923)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/18/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Encryption). Las versiones compatibles que están afectadas son 5.6.45 y anteriores y 5.7.27 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server. CVSS 3.0 Puntuación Base 5.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en el producto MySQL Server de Oracle MySQl (CVE-2019-2924)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/18/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Security: Encryption). Las versiones compatibles que están afectadas son 5.6.45 y anteriores y 5.7.27 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de MySQL Server. CVSS 3.0 Puntuación Base 5.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en el producto Oracle Workflow de Oracle E-Business Suite (CVE-2019-2925)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle Workflow de Oracle E-Business Suite (componente: Worklist). Las versiones compatibles que están afectadas son 12.1.3 y 12.2.3 hasta 12.2.8. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Oracle Workflow. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Workflow. CVSS 3.0 Puntuación Base 4.3 (Impactos de la Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N).
Vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (CVE-2019-2926)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
04/01/2020
Descripción:
Una vulnerabilidad en el producto Oracle VM VirtualBox de Oracle Virtualization (componente: Core). Las versiones compatibles que están afectadas son las anteriores a 5.2.34 y anteriores a 6.0.14. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con inicio de sesión en la infraestructura donde es ejecutado Oracle VM VirtualBox comprometer a Oracle VM VirtualBox. Los ataques con éxito de esta vulnerabilidad pueden resultar en la capacidad no autorizada de causar una denegación de servicio parcial (DOS parcial) de Oracle VM VirtualBox. CVSS 3.0 Puntuación Base 2.3 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L).
Vulnerabilidad en el producto Hyperion Data Relationship Management de Oracle Hyperion (CVE-2019-2927)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Hyperion Data Relationship Management de Oracle Hyperion (componente: Access and Security). La versión compatible que está afectada es 11.1.2.4. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado y con acceso a la red por medio de HTTP comprometer a Hyperion Data Relationship Management. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante. Los ataques con éxito de esta vulnerabilidad pueden resultar en la toma de control de Hyperion Data Relationship Management. CVSS 3.0 Puntuación Base 6.4 (Impactos de la Confidencialidad, Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H).
Vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (CVE-2019-2929)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Portal). Las versiones compatibles que están afectadas son 8.56 y 8.57. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a PeopleSoft Enterprise PeopleTools. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en PeopleSoft Enterprise PeopleTools, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de PeopleSoft Enterprise PeopleTools, así como también el acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise PeopleTools. CVSS 3.0 Puntuación Base 6.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (CVE-2019-2931)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto PeopleSoft Enterprise PeopleTools de Oracle PeopleSoft (componente: Portal). Las versiones compatibles que están afectadas son 8.56 y 8.57. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a PeopleSoft Enterprise PeopleTools. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en PeopleSoft Enterprise PeopleTools, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de PeopleSoft Enterprise PeopleTools, así como también el acceso de lectura no autorizado a un subconjunto de datos accesibles de PeopleSoft Enterprise PeopleTools. CVSS 3.0 Puntuación Base 6.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en el componente Oracle Hospitality Reporting and Analytics de Oracle Food and Beverage Applications. (CVE-2019-2934)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el componente Oracle Hospitality Reporting and Analytics de Oracle Food and Beverage Applications. La versión compatible que está afectada es 9.1.0. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado tener el privilegio de Administrar - Configuración con acceso a la red por medio de HTTP para comprometer a Oracle Hospitality Reporting and Analytics. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Hospitality Reporting and Analytics, así como también el acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Oracle Hospitality Reporting and Analytics. CVSS 3.0 Puntuación Base 8.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en el producto Siebel UI Framework de Oracle Siebel CRM (CVE-2019-2935)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Siebel UI Framework de Oracle Siebel CRM (componente: EAI). Las versiones compatibles que están afectadas son 19.8 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con acceso a la red por medio de HTTP comprometer a Siebel UI Framework. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Siebel UI Framework. CVSS 3.0 Puntuación Base 5.3 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N).
Vulnerabilidad en el componente Oracle Hospitality Reporting and Analytics (CVE-2019-2936)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el componente Oracle Hospitality Reporting and Analytics de Oracle Food and Beverage Applications. La versión compatible que está afectada es 9.1.0. Una vulnerabilidad difícil de explotar permite a un atacante poco privilegiado tener el privilegio de Administrar - Configuración con acceso a la red por medio de HTTP para comprometer a Oracle Hospitality Reporting and Analytics. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Hospitality Reporting and Analytics, así como también el acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Oracle Hospitality Reporting and Analytics. CVSS 3.0 Puntuación Base 6.8 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en el componente Oracle Hospitality Reporting and Analytics de Oracle Food and Beverage Applications. (CVE-2019-2937)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el componente Oracle Hospitality Reporting and Analytics de Oracle Food and Beverage Applications. La versión compatible que está afectada es 9.1.0. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado tener el privilegio de Administrar - Configuración con acceso a la red por medio de HTTP para comprometer a Oracle Hospitality Reporting and Analytics. Los ataques con éxito de esta vulnerabilidad pueden resultar en la creación, eliminación o modificación no autorizada del acceso a datos críticos o a todos los datos accesibles de Oracle Hospitality Reporting and Analytics, así como también el acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de Oracle Hospitality Reporting and Analytics. CVSS 3.0 Puntuación Base 8.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N).
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (CVE-2019-2938)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
11/11/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles afectadas son 5.7.27 y anteriores y 8.0.17 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en el componente Core RDBMS de Oracle Database Server. (CVE-2019-2939)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/17/2019
Descripción:
Una vulnerabilidad en el componente Core RDBMS de Oracle Database Server. Las versiones compatibles que están afectadas son 12.2.0.1, 18c y 19c. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado tener el privilegio de Crear Sesión con acceso a la red por medio de OracleNet para comprometer a Core RDBMS. Aunque la vulnerabilidad se encuentre en Core RDBMS, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso de lectura no autorizado a un subconjunto de datos accesibles de Core RDBMS. CVSS 3.0 Puntuación Base 5.0 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N).
Vulnerabilidad en el componente Core RDBMS de Oracle Database Server. (CVE-2019-2940)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
10/17/2019
Descripción:
Una vulnerabilidad en el componente Core RDBMS de Oracle Database Server. Las versiones compatibles que están afectadas son 12.1.0.2, 12.2.0.1 y 18c. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado tener el privilegio de Crear Sesión con inicio de sesión en la infraestructura donde es ejecutado Core RDBMS para comprometer Core RDBMS. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Core RDBMS. CVSS 3.0 Puntuación Base 2.3 (Impactos de la Integridad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N).
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (CVE-2019-2946)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/11/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: PS). Las versiones compatibles afectadas son 5.7.27 y anteriores y 8.0.17 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Puntuación Base 6.5 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en el componente Oracle Hospitality Reporting and Analytics de Oracle Food and Beverage Applications. (CVE-2019-2947)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el componente Oracle Hospitality Reporting and Analytics de Oracle Food and Beverage Applications. La versión compatible que está afectada es 9.1.0. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado tener el privilegio de Integración de Inventario con acceso a la red por medio de HTTP para comprometer a Oracle Hospitality Reporting and Analytics. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso completo a todos los datos accesibles de Oracle Hospitality Reporting and Analytics, así como también actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Hospitality Reporting and Analytics. CVSS 3.0 Puntuación Base 7.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N).
Vulnerabilidad en el componente Oracle Hospitality Reporting and Analytics de Oracle Food and Beverage Applications. (CVE-2019-2952)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el componente Oracle Hospitality Reporting and Analytics de Oracle Food and Beverage Applications. La versión compatible que está afectada es 9.1.0. Una vulnerabilidad fácilmente explotable permite a los atacantes no autenticados con acceso a la red por medio de HTTP comprometer a Oracle Hospitality Reporting and Analytics. Los ataques con éxito requieren la interacción humana de otra persona diferente del atacante y, aunque la vulnerabilidad se encuentre en Oracle Hospitality Reporting and Analytics, los ataques pueden impactar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden resultar en actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Hospitality Reporting and Analytics, así como también el acceso de lectura no autorizado a un subconjunto de datos accesibles de Oracle Hospitality Reporting and Analytics. CVSS 3.0 Puntuación Base 6.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N).
Vulnerabilidad en el producto Oracle Hospitality Cruise Dining Room Management de Oracle Hospitality Applications (CVE-2019-2953)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad en el producto Oracle Hospitality Cruise Dining Room Management de Oracle Hospitality Applications (componente: Web Service). La versión compatible que está afectada es 8.0.80. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de HTTP comprometer a Oracle Hospitality Cruise Dining Room Management. Los ataques con éxito de esta vulnerabilidad pueden resultar en el acceso no autorizado a datos críticos o el acceso total a todos los datos accesibles de Oracle Hospitality Cruise Dining Room Management, así como también actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de Oracle Hospitality Cruise Dining Room Management. CVSS 3.0 Puntuación Base 7.1 (Impactos de la Confidencialidad e Integridad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N).
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (CVE-2019-2969)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
11/18/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Client programs). Las versiones compatibles afectadas son 5.6.44 y anteriores, 5.7.26 y anteriores y 8.0.16 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante no autenticado con inicio de sesión en la infraestructura donde es ejecutado MySQL Server comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en un acceso no autorizado a datos críticos o un acceso total a todos los datos accesibles de MySQL Server. CVSS 3.0 Puntuación Base 6.2 (Impactos de la Confidencialidad). Vector CVSS: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N).
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (CVE-2019-2974)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/11/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles afectadas son 5.6.45 y anteriores, 5.7.27 y anteriores y 8.0.17 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Puntuación Base 6.5 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en el producto MySQL Server de Oracle MySQL (CVE-2019-2982)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/11/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.17 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2019-2991)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/11/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles afectadas son 8.017 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server, así como también actualizar, insertar o eliminar de forma no autorizada el acceso a algunos de los datos accesibles de MySQL Server. CVSS 3.0 Puntuación Base 5.5 (Impactos de la Integridad y Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2019-2993)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
11/11/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: C API). Las versiones compatibles afectadas son 5.7.27 y anteriores y 8.0.17 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Puntuación Base 5.3 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2019-2997)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/11/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: DDL). Las versiones compatibles que están afectadas son 8.0.17 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en Servidor MySQL de Oracle MySQL (CVE-2019-2998)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/11/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Optimizer). Las versiones compatibles que están afectadas son 8.0.17 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2019-3003)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/18/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 8.0.16 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Puntuación Base 4.9 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2019-3004)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/11/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Parser). Las versiones compatibles que están afectadas son 8.0.17 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Puntuación Base 6.5 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2019-3009)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/11/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: Connection). Las versiones compatibles que están afectadas son 8.0.17 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2019-3011)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/11/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: Server: C API). Las versiones compatibles que están afectadas son 8.0.17 y anteriores. Una vulnerabilidad fácilmente explotable permite a un atacante poco privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Puntuación Base 6.5 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en MySQL Server de Oracle MySQL (CVE-2019-3018)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
11/11/2019
Descripción:
Una vulnerabilidad en el producto MySQL Server de Oracle MySQL (componente: InnoDB). Las versiones compatibles que están afectadas son 8.0.17 y anteriores. Una vulnerabilidad difícil de explotar permite a un atacante muy privilegiado con acceso a la red por medio de múltiples protocolos comprometer a MySQL Server. Los ataques con éxito de esta vulnerabilidad pueden resultar en una capacidad no autorizada para causar una suspensión o un bloqueo repetible frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Puntuación Base 4.4 (Impactos de la Disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:H).
Vulnerabilidad en el servidor Kea (CVE-2019-6474)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una falta de comprobación en las peticiones de clientes entrantes puede ser explotadas para causar una situación en la que el almacenamiento arrendado del servidor Kea contiene arrendamientos que son rechazados como no válidos cuando el servidor intenta cargar arrendamientos del almacenamiento al reiniciar. Si el número de tales arrendamientos excede un límite codificado en el código Kea, un servidor que intente reiniciar concluirá que existe un problema con su almacén de arrendamientos y se dará por vencido. Versiones afectadas: 1.4.0 hasta 1.5.0, 1.6.0-beta1 y 1.6.0-beta2
Vulnerabilidad en la página de límites de host virtual y la UI de administración federation en Pivotal RabbitMQ y RabbitMQ for PCF (CVE-2019-11281)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
12/07/2019
Descripción:
Pivotal RabbitMQ, versiones anteriores a v3.7.18 y RabbitMQ for PCF, versiones 1.15.x anteriores a 1.15.13, versiones 1.16.x anteriores a 1.16.6 y versiones 1.17.x anteriores a 1.17.3, contienen dos componentes, la página de límites de host virtual y la UI de administración federation que no sanean apropiadamente la entrada del usuario. Un usuario malicioso autenticado remoto con acceso administrativo podría crear un ataque de tipo cross-site scripting que obtendría acceso a hosts virtuales e información de gestión de políticas.
Vulnerabilidad en el archivo admin/translate/translateheader_view.php en el parámetro tolang en LimeSurvey (CVE-2019-17660)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/17/2019
Descripción:
Una vulnerabilidad de tipo cross-site scripting (XSS) en el archivo admin/translate/translateheader_view.php en LimeSurvey versión 3.19.1 y anteriores, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del parámetro tolang, como es demostrado por el parámetro PATH_INFO del index.php/admin/translate/sa/index/surveyid/336819/lang/.
Vulnerabilidad en la función filter en un parámetro GET HTTP en el plugin broken-link-checker para WordPress (CVE-2019-16521)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
El plugin broken-link-checker versiones hasta 1.11.8 para WordPress (también se conoce como Broken Link Checker), es susceptible a una vulnerabilidad de tipo XSS reflejado debido a la codificación e inserción inapropiada de un parámetro GET HTTP en HTML. La función filter en la página que enumera todos los enlaces rotos detectados puede ser explotada proporcionando una carga útil XSS en el parámetro GET de s_filter en una petición filter_id=search. NOTA: este es un producto al final de su vida útil.
Vulnerabilidad en el atributo map_style de los shortcodes proporcionados por el plugin events-manager para WordPress (CVE-2019-16523)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
El plugin events-manager versiones hasta 5.9.5 para WordPress (también se conoce como Events Manager), es susceptible a una vulnerabilidad de tipo XSS almacenado debido a la codificación e inserción inapropiada de los datos proporcionados en el atributo map_style de los shortcodes (locations_map y events_map) proporcionados por el plugin.
Vulnerabilidad en SSL/TLS y la comprobación de nombre de host en Jenkins Bumblebee HP ALM Plugin (CVE-2019-10444)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Jenkins Bumblebee HP ALM Plugin versión 4.1.3 y anteriores, desactivaron incondicionalmente SSL/TLS y la comprobación de nombre de host para conexiones hacia HP ALM.
Vulnerabilidad en la información limitada sobre el alcance de una credencial en Jenkins Google Kubernetes Engine Plugin (CVE-2019-10445)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una falta de comprobación de permiso en Jenkins Google Kubernetes Engine Plugin versión 0.7.0 y anteriores, permitieron a atacantes con permiso General y de Lectura obtener información limitada sobre el alcance de una credencial con un ID de credenciales especificado por el atacante.
Vulnerabilidad en SSL/TLS y la comprobación del nombre de host en Jenkins Cadence vManager Plugin (CVE-2019-10446)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Jenkins Cadence vManager Plugin versión 2.7.0 y anteriores, deshabilitaron SSL/TLS y la comprobación del nombre de host globalmente para el maestro JVM de Jenkins.
Vulnerabilidad en los archivos de trabajo config.xml en Jenkins Extensive Testing Plugin (CVE-2019-10448)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Jenkins Extensive Testing Plugin, almacena las credenciales no encriptadas en los archivos de trabajo config.xml en el maestro de Jenkins, donde pueden ser visualizadas por parte de los usuarios con permiso de Lectura Extendida o acceso al sistema de archivos maestro.
Vulnerabilidad en los archivos de trabajo config.xml en Jenkins Fortify on Demand Plugin (CVE-2019-10449)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Jenkins Fortify on Demand Plugin, almacena las credenciales no encriptadas en los archivos de trabajo config.xml en el maestro de Jenkins, donde pueden ser visualizadas por parte de los usuarios con permiso de Lectura Extendida o acceso al sistema de archivos maestro.
Vulnerabilidad en el archivo de configuración global config.xml en Jenkins ElasticBox CI Plugin (CVE-2019-10450)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Jenkins ElasticBox CI Plugin, almacena credenciales no encriptadas en el archivo de configuración global config.xml en el maestro de Jenkins, donde pueden ser visualizadas por parte de los usuarios con acceso al sistema de archivos maestro.
Vulnerabilidad en los archivos de trabajo config.xml en Jenkins View26 Test-Reporting Plugin (CVE-2019-10452)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Jenkins View26 Test-Reporting Plugin, almacena las credenciales no encriptadas en los archivos de trabajo config.xml en el maestro de Jenkins, donde pueden ser visualizadas por parte de los usuarios con permiso de Lectura Extendida o acceso al sistema de archivos maestro.
Vulnerabilidad en su archivo de configuración global en Jenkins Delphix Plugin (CVE-2019-10453)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Jenkins Delphix Plugin, almacena las credenciales no encriptadas en su archivo de configuración global en el maestro de Jenkins, donde pueden ser visualizadas por parte de los usuarios con acceso al sistema de archivos maestro.
Vulnerabilidad en una URL en Jenkins Rundeck Plugin (CVE-2019-10454)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery en Jenkins Rundeck Plugin, permite a atacantes conectar con una URL especificada por el atacante usando credenciales especificadas por el atacante.
Vulnerabilidad en una URL en Jenkins Rundeck Plugin (CVE-2019-10455)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una falta de comprobación de permiso en Jenkins Rundeck Plugin, permite a atacantes con permiso General y de Lectura conectar con una URL especificada por el atacante usando credenciales especificadas por el atacante.
Vulnerabilidad en una URL en Jenkins Oracle Cloud Infrastructure Compute Classic Plugin (CVE-2019-10456)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad de tipo cross-site request forgery en Jenkins Oracle Cloud Infrastructure Compute Classic Plugin, permite a atacantes conectar con una URL especificada por el atacante usando credenciales especificadas por el atacante.
Vulnerabilidad en una URL en Jenkins Oracle Cloud Infrastructure Compute Classic Plugin (CVE-2019-10457)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Una falta de comprobación de permiso en Jenkins Oracle Cloud Infrastructure Compute Classic Plugin, permite a atacantes con permiso General y de Lectura conectar con una URL especificada por el atacante usando credenciales especificadas por el atacante.
Vulnerabilidad en una lista blanca Script Security en Jenkins Puppet Enterprise Pipeline (CVE-2019-10458)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Jenkins Puppet Enterprise Pipeline versión 1.3.1 y anteriores, especifican valores no seguros en su lista blanca Script Security personalizada, permitiendo a atacantes ejecutar scripts protegidos de Script Security para ejecutar código arbitrario.
Vulnerabilidad en el plugin all-in-one-seo-pack para WordPress (CVE-2019-16520)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
El plugin all-in-one-seo-pack versiones anteriores a 3.2.7 para WordPress (también se conoce como All in One SEO Pack), es susceptible a una vulnerabilidad de tipo XSS almacenado debido a la codificación inapropiada de la descripción específica de SEO para las publicaciones provistas por el plugin mediante un reemplazo de un marcador de posición no seguro .
Vulnerabilidad en la pantalla "News ) Add Article" en CMS Made Simple (CMSMS) (CVE-2019-17630)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
10/16/2019
Descripción:
CMS Made Simple (CMSMS) versión 2.2.11, permite un ataque de tipo XSS almacenado por parte de un administrador mediante un nombre de archivo de imagen diseñado en la pantalla "News ) Add Article".
Vulnerabilidad en la pantalla "file manager ) upload images" en CMS Made Simple (CMSMS) (CVE-2019-17629)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
10/16/2019
Descripción:
CMS Made Simple (CMSMS) versión 2.2.11, permite un ataque de tipo XSS almacenado por parte de un administrador mediante un nombre de archivo de imagen diseñado en la pantalla "file manager ) upload images".
Vulnerabilidad en el sistema de archivos en IBM Workload Scheduler Distributed (CVE-2019-4031)
Gravedad:
HighHigh
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
IBM Workload Scheduler Distributed versiones 9.2, 9.3, 9.4 y 9.5, contiene una vulnerabilidad que podría permitir a un usuario local escribir archivos como root en el sistema de archivos, lo que podría permitir al atacante alcanzar privilegios de root. ID de IBM X-Force: 155997.
Vulnerabilidad en el atributo onerror de un elemento IMG en el campo name en Rambox (CVE-2019-17625)
Gravedad:
HighHigh
Fecha publicación : 10/16/2019
Última modificación:
10/16/2019
Descripción:
Se presenta una vulnerabilidad de tipo XSS almacenado en Rambox versión 0.6.9 que puede conllevar a la ejecución de código. La vulnerabilidad XSS se encuentra en el campo name cuando se agrega y edita un servicio. El problema se presenta debido al saneamiento inapropiado del campo name cuando es procesado y almacenado. Esto permite al usuario crear una carga útil para Node.js y Electron, como un ejecutable de comandos del Sistema Operativo dentro del atributo onerror de un elemento IMG.
Vulnerabilidad en el archivo colors.py en la función toColor(eval(arg)) en ReportLab (CVE-2019-17626)
Gravedad:
HighHigh
Fecha publicación : 10/16/2019
Última modificación:
01/21/2020
Descripción:
ReportLab versiones hasta 3.5.26, permite la ejecución de código remota debido a la función toColor(eval(arg)) en el archivo colors.py, como es demostrado por un documento XML diseñado con '(span color ="' seguido de un código arbitrario de Python.
Vulnerabilidad en el tráfico Bluetooth Low Energy (BLE) en la aplicación Yale Bluetooth Key para dispositivos móviles (CVE-2019-17627)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
La aplicación Yale Bluetooth Key para dispositivos móviles, permite acciones de desbloqueo no autorizadas al detectar el tráfico Bluetooth Low Energy (BLE) durante una acción de desbloqueo autorizada, y luego calcular la clave de autenticación mediante cálculos simples en los dígitos hexadecimales de una petición de autenticación válida. Esto afecta el bloqueo Yale ZEN-R y otros bloqueos no especificados.
Vulnerabilidad en la cookie de autenticación en los dispositivos NETGEAR JNR1010 (CVE-2016-11014)
Gravedad:
HighHigh
Fecha publicación : 10/16/2019
Última modificación:
10/18/2019
Descripción:
Los dispositivos NETGEAR JNR1010 versiones anteriores a 1.0.0.32, presenta un Control de Acceso Incorrecto porque el valor satisfactorio de la cookie de autenticación es un caso especial.
Vulnerabilidad en el archivo cgi-bin/webproc en el parámetro :InternetGatewayDevice.X_TWSZ-COM_URL_Filter.BlackList.1.URL en los dispositivos NETGEAR JNR1010 (CVE-2016-11015)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/17/2019
Descripción:
Los dispositivos NETGEAR JNR1010 versiones anteriores a 1.0.0.32, permiten un ataque de tipo CSRF del archivo cgi-bin/webproc por medio del parámetro :InternetGatewayDevice.X_TWSZ-COM_URL_Filter.BlackList.1.URL.
Vulnerabilidad en webproc?getpage= en los dispositivos NETGEAR JNR1010 (CVE-2016-11016)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
10/17/2019
Descripción:
Los dispositivos NETGEAR JNR1010 versiones anteriores a 1.0.0.32, permiten un ataque de tipo XSS en webproc?getpage=.
Vulnerabilidad en una petición POST en el navegador en MindPalette NateMail (CVE-2019-13392)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
10/18/2019
Descripción:
Una vulnerabilidad de Cross-Site Scripting (XSS) reflejada en MindPalette NateMail versión 3.0.15, permite a un atacante ejecutar JavaScript remoto en el navegador de una víctima por medio de una petición POST especialmente diseñada. La aplicación reflejará el valor del destinatario si no está en la matriz de destinatarios NateMail. Tenga en cuenta que esta matriz está codificada por medio de enteros por defecto, por lo que cualquier entrada de cadena será no válida.
Vulnerabilidad en el archivo Common/Controller/BackendController.class.php en el método _list en el parámetro sort en 74CMS (CVE-2019-17612)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
10/17/2019
Descripción:
Se detectó un problema en 74CMS versión v5.2.8. Se presenta una inyección SQL generada por el método _list en el archivo Common/Controller/BackendController.class.php por medio del parámetro sort de index.php?M=Admin&c=Ad&a=category.
Vulnerabilidad en el archivo do/jf.php en la funcionalidad Point Introduction Management en qibosoft (CVE-2019-17613)
Gravedad:
HighHigh
Fecha publicación : 10/15/2019
Última modificación:
10/18/2019
Descripción:
qibosoft versión 7, permite la ejecución de código remota porque el archivo do/jf.php realiza llamadas de evaluación. El atacante puede usar la funcionalidad Point Introduction Management para proporcionar el código PHP a ser evaluado. Alternativamente, el atacante puede acceder a admin/index.php?D42:D46lfj=jfadmin&action=addjf por medio de un ataque de tipo CSRF, como es demostrado por una carga útil en el parámetro content.
Vulnerabilidad en logcat en la aplicación Rapid Gator para Android (CVE-2019-17395)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
10/17/2019
Descripción:
En la aplicación Rapid Gator versión 0.7.1 para Android, el nombre de usuario y la contraseña son almacenados en el registro durante la autenticación, y pueden estar disponibles para atacantes por medio de logcat.
Vulnerabilidad en logcat en la aplicación Orbitz para Android (CVE-2019-17355)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
10/17/2019
Descripción:
En la aplicación Orbitz versión 19.31.1 para Android, el nombre de usuario y la contraseña son almacenados en el registro durante la autenticación, y pueden estar disponibles para atacantes por medio de logcat.
Vulnerabilidad en TCP sin encriptación en inicio de sesión de la aplicación Infinite Design para Android (CVE-2019-17356)
Gravedad:
LowLow
Fecha publicación : 10/15/2019
Última modificación:
10/18/2019
Descripción:
La aplicación Infinite Design versión 3.4.12 para Android, envía un nombre de usuario y una contraseña por medio de TCP sin ningún tipo de encriptación durante el inicio de sesión, como es demostrado mediante el rastreo de una red Wi-Fi pública.
Vulnerabilidad en logcat en la aplicación Seesaw Parent and Family para Android (CVE-2019-17394)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
10/17/2019
Descripción:
En la aplicación Seesaw Parent and Family versión 6.2.5 para Android, el nombre de usuario y la contraseña son almacenados en el registro durante la autenticación, y pueden estar disponibles para atacantes por medio de logcat.
Vulnerabilidad en logcat en la aplicación PowerSchool Mobile para Android (CVE-2019-17396)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
10/17/2019
Descripción:
En la aplicación PowerSchool Mobile versión 1.1.8 para Android, el nombre de usuario y la contraseña son almacenados en el registro durante la autenticación y pueden estar disponibles para atacantes por medio de logcat.
Vulnerabilidad en logcat en la aplicación Dark Horse Comics para Android (CVE-2019-17398)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
10/17/2019
Descripción:
En la aplicación Dark Horse Comics versión 1.3.21 para Android, la información del token (equivalente al nombre de usuario y contraseña) son almacenados en el registro durante la autenticación y pueden estar disponibles para atacantes por medio de logcat.
Vulnerabilidad en una petición CONNECT HTTP en MiniShare (CVE-2019-17601)
Gravedad:
HighHigh
Fecha publicación : 10/15/2019
Última modificación:
10/17/2019
Descripción:
En MiniShare versión 1.4.1, se presenta un desbordamiento de búfer en la región stack de la memoria por medio de una petición CONNECT HTTP, que permite a un atacante lograr la ejecución de código arbitrario, un problema similar a CVE-2018-19862 y CVE-2018-19861. NOTA: este producto está descontinuado.
Vulnerabilidad en el servlet OPMDeviceDetailsServlet en Zoho ManageEngine OpManager (CVE-2019-17602)
Gravedad:
HighHigh
Fecha publicación : 10/15/2019
Última modificación:
10/17/2019
Descripción:
Se detectó un problema en Zoho ManageEngine OpManager versiones anteriores a 12.4 build 124089. El servlet OPMDeviceDetailsServlet es propenso a la inyección SQL. Dependiendo de la configuración, esta vulnerabilidad podría ser explotada no autenticado o autenticado.
Vulnerabilidad en un id de usuario en la API REST de Keycloak (CVE-2019-14832)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
12/11/2019
Descripción:
Se encontró un fallo en la API REST de Keycloak anterior a la versión 8.0.0, donde se permitiría el acceso del usuario desde un dominio en el que el usuario no fue configurado. Un atacante autenticado con conocimiento de un id de usuario podría usar este fallo para acceder a información no autorizada o llevar a cabo futuros ataques.
Vulnerabilidad en la ejecución de tareas en el servidor en haml (CVE-2017-1002201)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
11/10/2019
Descripción:
En haml versiones anteriores a la versión 5.0.0.beta.2, cuando se usa la entrada del usuario para realizar tareas en el servidor, los caracteres como ( ) " ' necesitan escaparse apropiadamente. En este caso, el carácter ' se perdió. Un atacante puede manipular la entrada para introducir atributos adicionales, ejecutando potencialmente código.
Vulnerabilidad en el sandbox en safer-eval (CVE-2019-10759)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
10/15/2019
Descripción:
safer-eval versiones anteriores a 1.3.4, son vulnerables a la ejecución de código arbitrario. Una carga útil que usa propiedades de constructor puede escapar del sandbox y ejecutar código arbitrario.
Vulnerabilidad en el sandbox en safer-eval (CVE-2019-10760)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
10/15/2019
Descripción:
safer-eval versiones anteriores a 1.3.2, son vulnerables a la ejecución de código arbitrario. Una carga útil que usa propiedades de constructor puede escapar del sandbox y ejecutar código arbitrario.
Vulnerabilidad en logcat en la aplicación DoorDash para Android (CVE-2019-17397)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
10/15/2019
Descripción:
En la aplicación DoorDash versiones hasta 11.5.2 para Android, el nombre de usuario y la contraseña son almacenados en el registro durante la autenticación, y pueden estar disponibles para atacantes por medio de logcat.
Vulnerabilidad en el acceso de invitados en los dispositivos Glue Smart Lock (CVE-2019-12944)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
10/16/2019
Descripción:
Los dispositivos Glue Smart Lock versión 2.7.8, no bloquean apropiadamente el acceso de invitados en ciertas situaciones donde la conexión de red no está disponible.
Vulnerabilidad en el análisis de un JWT en Connect2id Nimbus JOSE+JWT (CVE-2019-17195)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
11/07/2019
Descripción:
Connect2id Nimbus JOSE+JWT versiones anteriores a v7.9, puede arrojar varias excepciones no captadas al analizar un JWT, lo que podría resultar en un bloqueo de la aplicación (potencial divulgación de información) o una posible omisión de autenticación.
Vulnerabilidad en el archivo user/note.php en el campo Note en Dolibarr ERP/CRM (CVE-2019-17223)
Gravedad:
Medium Medium
Fecha publicación : 10/15/2019
Última modificación:
10/15/2019
Descripción:
Se presenta inyección HTML en el campo Note en Dolibarr ERP/CRM versión 10.0.2 por medio del archivo user/note.php.
Vulnerabilidad en JIZHICMS (CVE-2019-17593)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
10/16/2019
Descripción:
JIZHICMS versión 1.5.1 permite Cross-Site Request Forgery (CSRF) en admin.php/Admin/adminadd.html para añadir a un administrador.
Vulnerabilidad en CryptoManager de JSS (CVE-2019-14823)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
10/25/2019
Descripción:
Se detectó un fallo en la implementación de la política OCSP "Leaf and Chain" en las versiones de CryptoManager de JSS versiones posteriores a 4.4.6, 4.5.3, 4.6.0, donde confiaba implícitamente en el certificado raíz de una cadena de certificados. Es posible que las aplicaciones que utilizan esta política no verifiquen correctamente la cadena y puedan ser vulnerables a ataques de tipo Man in the Middle.
Vulnerabilidad en csv-parse de Node.js (CVE-2019-17592)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
11/27/2019
Descripción:
El módulo csv-parse en versiones anteriores a la 4.4.6 para Node.js es vulnerable a la denegación de servicio de expresiones regulares. La función __isInt() contiene una expresión regular con formato incorrecto que procesa la entrada de gran tamaño muy lentamente. Esto se activa cuando se usa la opción de enviar.
Vulnerabilidad en Ubisoft Uplay (CVE-2019-14737)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
10/17/2019
Descripción:
Ubisoft Uplay versión 92.0.0.6280 presenta permisos no seguros.
Vulnerabilidad en D-Link (CVE-2017-14948)
Gravedad:
HighHigh
Fecha publicación : 10/14/2019
Última modificación:
10/17/2019
Descripción:
Ciertos productos de D-Link se ven afectados por: Desbordamiento de búfer. Esto afecta a DIR-880L 1.08B04 y DIR-895 L/R 1.13b03. El impacto es: ejecutar código arbitrario (remoto). El componente es: htdocs/fileaccess.cgi. El vector de ataque es: una petición HTTP diseñada manejada por fileacces.cgi podría permitir que un atacante realice un ataque ROP: si el campo de encabezado HTTP CONTENT_TYPE comienza con ''boundary='' seguido de más de 256 caracteres, se desencadenará un desbordamiento de búfer, potencialmente causando la ejecución del código.
Vulnerabilidad en NCH Express Invoice (CVE-2019-16282)
Gravedad:
LowLow
Fecha publicación : 10/14/2019
Última modificación:
10/16/2019
Descripción:
En NCH Express Invoice versión 7.12, existe Cross-Site Scripting (XSS) persistente mediante el campo de entrada Invoices/Items/Customers/Quotes. Un usuario autenticado sin privilegios puede agregar/modificar el parámetro de los campos Invoices/Items/Customers para inyectar JavaScript arbitrario.
Vulnerabilidad en Dell ImageAssist (CVE-2019-3767)
Gravedad:
LowLow
Fecha publicación : 10/14/2019
Última modificación:
10/17/2019
Descripción:
Las versiones de Dell ImageAssist en versiones anteriores a la 8.7.15 contienen una vulnerabilidad de divulgación de información. Dell ImageAssist almacena información confidencial cifrada en las imágenes que crea. Un usuario privilegiado de un sistema que ejecuta un sistema operativo que se implementó con Dell ImageAssist podría recuperar esta información confidencial para luego comprometer el sistema y los sistemas relacionados.
Vulnerabilidad en OX App Suite (CVE-2019-14225)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
10/16/2019
Descripción:
OX App Suite versión 7.10.1 y versión 7.10.2 permite Server Side Request Forgery (SSRF).
Vulnerabilidad en OX App Suite (CVE-2019-14226)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
10/17/2019
Descripción:
OX App Suite hasta la versión 7.10.2 tiene permisos inseguros.
Vulnerabilidad en OX App Suite (CVE-2019-14227)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
10/16/2019
Descripción:
OX App Suite versión 7.10.1 y versión 7.10.2 permite Cross-Site Scripting (XSS).
Vulnerabilidad en nostromo nhttpd (CVE-2019-16278)
Gravedad:
HighHigh
Fecha publicación : 10/14/2019
Última modificación:
10/31/2019
Descripción:
Un salto de directorio en la función http_verify en nostromo nhttpd hasta la versión 1.9.6 permite a un atacante lograr la ejecución de código remota mediante una petición http diseñada.
Vulnerabilidad en BMC Patrol Agent (CVE-2019-17043)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
10/18/2019
Descripción:
Se detectó un problema en BMC Patrol Agent versión 9.0.10i. Los permisos de ejecución débiles en el binario SUID best1collect.exe podrían permitir a un atacante elevar sus privilegios a los del usuario "patrol" al diseñar especialmente un archivo .so de biblioteca compartida que se cargará durante la ejecución.
Vulnerabilidad en BMC Patrol Agent (CVE-2019-17044)
Gravedad:
HighHigh
Fecha publicación : 10/14/2019
Última modificación:
10/18/2019
Descripción:
Se descubrió un problema en BMC Patrol Agent versión 9.0.10i. Los permisos de ejecución débiles en el binario SUID de PatrolAgent podrían permitir a un atacante con privilegios de "patrol" elevar sus privilegios a los del usuario "root" al diseñar especialmente un archivo .so de biblioteca compartida que se cargará durante la ejecución.
Vulnerabilidad en los enrutadores D-Link DIR-412 A1-1.14WW (CVE-2019-17511)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
10/17/2019
Descripción:
Existen algunas interfaces web sin requisitos de autenticación en los enrutadores D-Link DIR-412 A1-1.14WW. Un atacante puede obtener el archivo de registro del enrutador mediante el archivo log_get.php, que podría usarse para descubrir la estructura de red de la intranet.
Vulnerabilidad en tonyy dormsystem (CVE-2019-17580)
Gravedad:
HighHigh
Fecha publicación : 10/14/2019
Última modificación:
10/16/2019
Descripción:
tonyy dormsystem hasta la versión 1.3 permite una inyección SQL en admin.php.
Vulnerabilidad en idreamsoft iCMS (CVE-2019-17583)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
10/17/2019
Descripción:
idreamsoft iCMS versión 7.0.15 permite que atacantes remotos provoquen una denegación de servicio (consumo de recursos) mediante una consulta para muchos comentarios, como queda demostrado en la subcadena admincp.php?app=comment&perpage= seguido de un gran número entero positivo.
Vulnerabilidad en wildfly-core (CVE-2019-14838)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
11/26/2019
Descripción:
Se detectó un error en wildfly-core en versiones anteriores a la 7.2.5.GA. Los usuarios de administración con funciones de monitor, auditor e implementador no deberían poder modificar el estado de tiempo de ejecución del servidor
Vulnerabilidad en ScadaBR (CVE-2019-16344)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
10/17/2019
Descripción:
Una vulnerabilidad Cross-Site Scripting (XSS) en el formulario Login (/ScadaBR/login.htm) en ScadaBR 1.0CE permite que un atacante remoto inyecte scripts web o HTML arbitrarios mediante los parámetros username o password.
Vulnerabilidad en admin/media/rename.php en WBCE CMS (CVE-2019-17575)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
10/17/2019
Descripción:
Existe una omisión del filtro de cambio de nombre de archivo en admin/media/rename.php en WBCE CMS versión 1.4.0 y versiones anteriores. Esto puede ser explotado por un usuario autenticado con privilegios de administrador para cambiar el nombre de un archivo multimedia y una extensión. (Por ejemplo: coloque el código PHP en un archivo .jpg y luego cambie el nombre base del archivo a filename.ph y cambie la extensión del archivo a p. Debido a la concatenación, el nombre se trata como filename.php). En el resultado, los atacantes remotos pueden ejecutar código PHP arbitrario.
Vulnerabilidad en SonarSource SonarQube (CVE-2019-17579)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
10/17/2019
Descripción:
SonarSource SonarQube en versiones anteriores a la 7.8 tiene Cross-Site Scripting (XSS) en enlaces de proyectos en cuenta/proyectos.
Vulnerabilidad en Popup Maker para WordPress (CVE-2019-17574)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
10/18/2019
Descripción:
Se detectó un problema en el plugin Popup Maker en versiones anteriores a la 1.8.13 para WordPress. Un atacante no autenticado puede controlar parcialmente los argumentos de la función do_action para invocar ciertos métodos popmake_ o pum_, como lo demuestra el control del contenido y la entrega de popmake-system-info.txt (también conocido como "support debug text file").
Vulnerabilidad en IBM FileNet Content Manager (CVE-2019-4572)
Gravedad:
LowLow
Fecha publicación : 10/14/2019
Última modificación:
10/16/2019
Descripción:
Las versiones 5.5.2 y 5.5.3 de IBM FileNet Content Manager en configuraciones específicas, podría registrar las credenciales de usuario del servicio web en un archivo de registro al que podría acceder un administrador en la máquina local. ID de IBM X-Force: 166798.
Vulnerabilidad en idreamsoft iCMS (CVE-2019-17552)
Gravedad:
HighHigh
Fecha publicación : 10/14/2019
Última modificación:
10/16/2019
Descripción:
Se ha detectado un problema en idreamsoft iCMS versión 7.0.14. Existe una vulnerabilidad de inyección de SQL spider_project.admincp.php en la función ''upload spider project scheme' mediante una carga útil de dos dimensiones.
Vulnerabilidad en MetInfo (CVE-2019-17553)
Gravedad:
HighHigh
Fecha publicación : 10/14/2019
Última modificación:
10/17/2019
Descripción:
Se detectó un problema en MetInfo versión 7.0.0 beta. Se presenta una inyección SQL mediante el URI admin/?n=tags&c=index&a=doSaveTags.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el producto Hyperion de rentabilidad y gestión de costos de Oracle Hyperion (CVE-2019-2941)
Gravedad:
LowLow
Fecha publicación : 10/16/2019
Última modificación:
11/27/2019
Descripción:
Vulnerabilidad en el producto Hyperion de rentabilidad y gestión de costos de Oracle Hyperion (component: Modeling) La versión compatible que está afectada es 11.1.2.4. La vulnerabilidad difícil de explotar permite que un atacante con privilegios elevados y acceso a la red a través de HTTP comprometa la rentabilidad y la gestión de costos de Hyperion. Los ataques con éxito requieren la interacción humana de una persona que no sea el atacante y, si bien la vulnerabilidad se encuentra en la gestión de rentabilidad y costos de Hyperion, los ataques pueden afectar significativamente a productos adicionales. Los ataques con éxito de esta vulnerabilidad pueden dar como resultado una actualización no autorizada, insertar o eliminar el acceso a algunos de los datos accesibles de la Administración de Costos y Rentabilidad de Hyperion, así como el acceso de lectura no autorizado a un subconjunto de datos accesibles de la Administración de Costos y Rentabilidad de Hyperion. CVSS 3.0 Base Score 4.0 (Impactos de confidencialidad e integridad). Vector CVSS: (CVSS: 3.0 / AV: N / AC: H / PR: H / UI: R / S: C / C: L / I: L / A: N).
Vulnerabilidad en la función XQueryKeymap en X.Org X Server (CVE-2019-17624)
Gravedad:
Medium Medium
Fecha publicación : 10/16/2019
Última modificación:
11/05/2019
Descripción:
En X.Org X Server versión 1.20.4, se presenta un desbordamiento de búfer en la región stack de la memoria en la función XQueryKeymap. Por ejemplo, al enviar ct.c_char 1000 veces, un atacante puede causar una denegación de servicio (bloqueo de aplicación) o posiblemente tener otro impacto no especificado. Note: Se disputa si el servidor X.Org X está involucrado o si hay un desbordamiento de pila.
Vulnerabilidad en el archivo v1/system/user en los dispositivos Intelbras IWR 1000N (CVE-2019-17600)
Gravedad:
HighHigh
Fecha publicación : 10/15/2019
Última modificación:
11/15/2019
Descripción:
Los dispositivos Intelbras IWR 1000N versión 1.6.4 permiten la divulgación del nombre de inicio de sesión y la contraseña del administrador porque v1/sistema/usuario se maneja incorrectamente.
Vulnerabilidad en terminfo en ncurses (CVE-2019-17594)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
12/26/2019
Descripción:
Hay una sobrelectura de búfer basada en memoria dinámica (heap) en la función _nc_find_entry en tinfo/comp_hash.c la biblioteca terminfo en ncurses en versiones anteriores a la 6.1-20191012.
Vulnerabilidad en terminfo en ncurses (CVE-2019-17595)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
12/23/2019
Descripción:
Hay una sobrelectura de búfer basada en memoria dinámica (heap) en la función fmt_entry en tinfo/comp_hash.c en la biblioteca terminfo en ncurses en versiones anteriores a la 6.1-20191012.
Vulnerabilidad en una petición HTTP en la función SSL_accept en nostromo nhttpd (CVE-2019-16279)
Gravedad:
Medium Medium
Fecha publicación : 10/14/2019
Última modificación:
10/21/2019
Descripción:
Un error de memoria en la función SSL_accept en nostromo nhttpd hasta la versión 1.9.6 permite a un atacante activar una denegación de servicio mediante una petición HTTP diseñada.
Vulnerabilidad en ESET Cyber ??Security (CVE-2019-16519)
Gravedad:
HighHigh
Fecha publicación : 10/14/2019
Última modificación:
05/04/2020
Descripción:
ESET Cyber ??Security 6.7.900.0 para macOS permite a un atacante local ejecutar comandos no autorizados como root al abusar de una función no documentada en las tareas programadas.
Vulnerabilidad en DLL en Avira Software Updater (CVE-2019-17449)
Gravedad:
Medium Medium
Fecha publicación : 10/10/2019
Última modificación:
10/24/2019
Descripción:
** EN DISPUTA ** Avira Software Updater versiones anteriores a 2.0.6.21094, permite un ataque de carga lateral de DLL. NOTA: El proveedor piensa que esta vulnerabilidad no es válida porque explotarla requeriría al menos privilegios de administrador y solo obtendría privilegios del SISTEMA.