Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el kernel de Linux en udisks. (CVE-2010-4661)
Gravedad:
Medium Medium
Fecha publicación : 11/13/2019
Última modificación:
11/18/2019
Descripción:
udisks versiones anteriores a la versión 1.0.3, permite a un usuario local cargar módulos arbitrarios del kernel de Linux.
Vulnerabilidad en el mecanismo de detección de manipulación del BIOS no se activó en Lenovo ThinkPad T460p (CVE-2019-6188)
Gravedad:
HighHigh
Fecha publicación : 11/12/2019
Última modificación:
08/24/2020
Descripción:
El mecanismo de detección de manipulación del BIOS no se activó en Lenovo ThinkPad T460p, versiones de BIOS hasta R07ET90W, y T470p, versiones de BIOS hasta R0FET50W, lo que puede permitir el acceso no autorizado.
Vulnerabilidad en los enlaces físicos en Visual Studio (CVE-2019-1425)
Gravedad:
Medium Medium
Fecha publicación : 11/12/2019
Última modificación:
08/24/2020
Descripción:
Se presenta una vulnerabilidad de elevación de privilegios cuando Visual Studio no es capaz de comprobar apropiadamente los enlaces físicos mientras extrae los archivos registrados, también se conoce como "Visual Studio Elevation of Privilege Vulnerability".
Vulnerabilidad en Hitachi Command Suite (CVE-2019-17360)
Gravedad:
Medium Medium
Fecha publicación : 11/12/2019
Última modificación:
11/18/2019
Descripción:
Una vulnerabilidad en Hitachi Command Suite versiones 7.x y versiones 8.x anteriores a 8.7.0-00, permite a un usuario remoto no autenticado activar una condición de denegación de servicio (DoS) debido al Consumo de Recursos No Controlado.
Vulnerabilidad en una petición GET de HTTP en el Manejador de Excepciones Estructuradas en File Sharing Wizard (CVE-2019-18655)
Gravedad:
HighHigh
Fecha publicación : 11/12/2019
Última modificación:
11/18/2019
Descripción:
File Sharing Wizard versión 1.5.0 build 2008, está afectado por una vulnerabilidad de desbordamiento de búfer basada en el Manejador de Excepciones Estructuradas. Un atacante no autenticado es capaz de realizar una ejecución de comandos remota y obtener un comando shell mediante el envío de una petición GET de HTTP incluyendo la carga maliciosa en la URL. Un problema similar a CVE-2019-17415, CVE-2019-16724 y CVE-2010-2331.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el método HTTP DELETE en File Sharing Wizard (CVE-2019-17415)
Gravedad:
HighHigh
Fecha publicación : 10/09/2019
Última modificación:
11/18/2019
Descripción:
Un desbordamiento de búfer basado en Structured Exception Handler (SEH) en File Sharing Wizard versión 1.5.0 26-8-2008, permite a atacantes remotos no autenticados ejecutar código arbitrario por medio del método HTTP DELETE, un problema similar a CVE-2019-16724 y CVE-2010- 2331.
Vulnerabilidad en Perch Content Management System (CVE-2017-15948)
Gravedad:
LowLow
Fecha publicación : 10/27/2017
Última modificación:
11/18/2019
Descripción:
Perch Content Management System 3.0.3 permite que se suban archivos sin restricción (con un XSS resultante) mediante el campo Asset Title junto con el campo Select File. Esto es explotable con una cuenta Limited Admin.
Vulnerabilidad en el agente en Bomgar Remote Support (CVE-2017-5996)
Gravedad:
HighHigh
Fecha publicación : 10/26/2017
Última modificación:
11/18/2019
Descripción:
El agente en Bomgar Remote Support en versiones 15.2.x anteriores a la 15.2.3, las 16.1.x anteriores a la 16.1.5, y las 16.2.x anteriores a la 16.2.4 permite el secuestro de DLL debido al uso de permisos %SYSTEMDRIVE%\ProgramData débiles.
Vulnerabilidad en la función deserialize en serialize-to-js (CVE-2017-15871)
Gravedad:
Medium Medium
Fecha publicación : 10/24/2017
Última modificación:
11/18/2019
Descripción:
** EN DISPUTA ** La función deserialize en serialize-to-js hasta la versión 1.1.1 permite a los atacantes provocar una denegación de servicio (DoS) mediante vectores que involucren una subcadena de una función IIFE (Immediately Invoked Function Expression), tal y como se demuestra en una llamada "function(){console.log(" o un simple bucle infinito. NOTA: el fabricante está de acuerdo con que puede ocurrir la denegación de servicio, pero puntualiza que la función deserialize está explícitamente listada como "dañina" en el archivo README.md.