Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en archivos de clave SSL/TLS en un script postinstall en el dovecot rpm. (CVE-2016-4983)
Gravedad:
LowLow
Fecha publicación : 11/05/2019
Última modificación:
11/08/2019
Descripción:
Un script postinstall en el dovecot rpm, permite a usuarios locales leer el contenido de los archivos de clave SSL/TLS recientemente creados.
Vulnerabilidad en las conexiones HTTPS con el binario del cliente osc en Open Build Service (CVE-2019-3685)
Gravedad:
Medium Medium
Fecha publicación : 11/05/2019
Última modificación:
11/08/2019
Descripción:
Open Build Service anterior a la versión 0.165.4, no validó los certificados TLS para las conexiones HTTPS con el binario del cliente osc
Vulnerabilidad en descompresión de archivos comprimidos en RHQ Mongo DB Drift Server (CVE-2013-4374)
Gravedad:
LowLow
Fecha publicación : 11/04/2019
Última modificación:
11/08/2019
Descripción:
Existe una vulnerabilidad de archivo temporal de inseguridad en RHQ Mongo DB Drift Server hasta el 25-09-2013 cuando se descomprimen archivos comprimidos.
Vulnerabilidad en el archivo drivers/media/platform/vivid en las funciones vivid_stop_generating_vid_cap(), vivid_stop_generating_vid_out(), sdr_cap_stop_streaming() y los kthreads en el kernel de Linux (CVE-2019-18683)
Gravedad:
Medium Medium
Fecha publicación : 11/04/2019
Última modificación:
12/05/2019
Descripción:
Se detectó un problema en el archivo drivers/media/platform/vivid en el kernel de Linux versiones hasta 5.3.8. Esto es explotable para una escalada de privilegios en algunas distribuciones de Linux donde los usuarios locales tienen acceso a /dev/video0, pero solo si el controlador ha sido cargado. Se presenta varias condiciones de carrera durante la detención de la transmisión en este controlador (parte del subsistema V4L2). Estos problemas son causados ??por el bloqueo de mutex incorrecto en las funciones vivid_stop_generating_vid_cap(), vivid_stop_generating_vid_out(), sdr_cap_stop_streaming() y los kthreads correspondientes. Al menos una de estas condiciones de carrera conlleva a un uso de la memoria previamente liberada.
Vulnerabilidad en HTML del Decodificador de Marcado de Enlaces en Cryptocat (CVE-2013-4101)
Gravedad:
Medium Medium
Fecha publicación : 11/04/2019
Última modificación:
11/08/2019
Descripción:
Cryptocat versiones anteriores a 2.0.22, una Debilidad del Manejo HTML del Decodificador de Marcado de Enlaces.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la propiedad "JSwindow" de la función typolink en TYPO3. (CVE-2011-4626)
Gravedad:
Medium Medium
Fecha publicación : 11/06/2019
Última modificación:
11/08/2019
Descripción:
Una vulnerabilidad de tipo Cross-site Scripting (XSS) en TYPO3 versiones anteriores a 4.3.12, versiones 4.4.x anteriores a 4.4.9 y versiones 4.5.x anteriores a 4.5.4, permite a atacantes remotos inyectar un script web o HTML arbitrario por medio de la propiedad "JSwindow" de la función typolink .
Vulnerabilidad en el back-end en TYPO3 (CVE-2011-4627)
Gravedad:
Medium Medium
Fecha publicación : 11/06/2019
Última modificación:
11/08/2019
Descripción:
TYPO3 versiones anteriores a la versión 4.3.12, versiones 4.4.x anteriores a 4.4.9 y versiones 4.5.x anteriores a 4.5.4, permite una divulgación de información en el back-end.
Vulnerabilidad en los mecanismos de autenticación en el back-end en TYPO3. (CVE-2011-4628)
Gravedad:
HighHigh
Fecha publicación : 11/06/2019
Última modificación:
11/08/2019
Descripción:
TYPO3 versiones anteriores a la versión 4.3.12, versiones 4.4.x anteriores a 4.4.9 y versiones 4.5.x anteriores a 4.5.4, permite a atacantes remotos omitir los mecanismos de autenticación en el back-end por medio de una petición especialmente diseñada.
Vulnerabilidad en el mensaje flash tcemain en TYPO3 (CVE-2011-4632)
Gravedad:
LowLow
Fecha publicación : 11/06/2019
Última modificación:
11/08/2019
Descripción:
Una vulnerabilidad de tipo Cross-site Scripting (XSS) en TYPO3 versiones anteriores a la versión 4.3.12, versiones 4.4.x anteriores a 4.4.9 y versiones 4.5.x anteriores a 4.5.4, permite a atacantes remotos inyectar script web o HTML arbitrario por medio del mensaje flash tcemain.
Vulnerabilidad en la base de datos de TYPO3 en (CVE-2011-4901)
Gravedad:
Medium Medium
Fecha publicación : 11/06/2019
Última modificación:
11/08/2019
Descripción:
TYPO3 versiones anteriores a la versión 4.3.12, versiones 4.4.x anteriores a la versión 4.4.9 y versiones 4.5.x anteriores a la versión 4.5.4, permite a atacantes remotos extraer información arbitraria de la base de datos de TYPO3.
Vulnerabilidad en el servidor web en TYPO3. (CVE-2011-4902)
Gravedad:
Medium Medium
Fecha publicación : 11/06/2019
Última modificación:
11/08/2019
Descripción:
TYPO3 versiones anteriores a la versión 4.3.12, versiones 4.4.x anteriores a la versión 4.4.9 y versiones 4.5.x anteriores a la versión 4.5.4, permite a atacantes remotos eliminar archivos arbitrarios en el servidor web.
Vulnerabilidad en el control de acceso apropiado en las llamadas ExtDirect en TYPO3 (CVE-2011-4904)
Gravedad:
Medium Medium
Fecha publicación : 11/06/2019
Última modificación:
11/08/2019
Descripción:
TYPO3 versiones anteriores a 4.4.9 y versiones 4.5.x anteriores a 4.5.4, no aplica el control de acceso apropiado en las llamadas ExtDirect, lo que permite a atacantes remotos recuperar los servicios del endpoint ExtDirect.
Vulnerabilidad en la función de descarga de archivos de la API en sesiones de chat en la API HTTP de Cisco Enterprise Chat and Email (CVE-2019-1877)
Gravedad:
Medium Medium
Fecha publicación : 11/05/2019
Última modificación:
10/16/2020
Descripción:
Una vulnerabilidad en la API HTTP de Cisco Enterprise Chat and Email, podría permitir a un atacante remoto no autenticado descargar archivos adjuntos por medio de sesiones de chat. La vulnerabilidad es debido a mecanismos de autenticación insuficientes en la función de descarga de archivos de la API. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición diseñada a la API. Una explotación con éxito podría permitir al atacante descargar archivos que otros usuarios adjuntan por medio de la funcionalidad de chat. Esta vulnerabilidad afecta a las versiones anteriores a la versión 12.0(1) ES1.
Vulnerabilidad en un proxy HTTP en play-ws en Lightbend Play Framework. (CVE-2019-17598)
Gravedad:
Medium Medium
Fecha publicación : 11/05/2019
Última modificación:
08/24/2020
Descripción:
Se descubrió un problema en Lightbend Play Framework versiones 2.5.x hasta la versión 2.6.23. Cuando es configurado para realizar peticiones utilizando un proxy HTTP autenticado, play-ws puede algunas veces, generalmente bajo una carga alta, cuando se conecta a un host de destino usando https, exponer las credenciales del proxy al host de destino.
Vulnerabilidad en "su - user -c program" en tty en shadow (CVE-2005-4890)
Gravedad:
HighHigh
Fecha publicación : 11/04/2019
Última modificación:
08/18/2020
Descripción:
Se presenta un posible secuestro de tty en shadow versiones 4.x anteriores a 4.1.5 y sudo versiones 1.x anteriores a 1.7.4 por medio de "su - user -c program". La sesión de usuario puede ser escapada a la sesión principal mediante el uso de la ioctl TIOCSTI para insertar caracteres en el búfer de entrada para ser leídos por el siguiente proceso.