Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los archivos viewimage.php y barcode.lib.php en Dolibarr ERP/CRM (CVE-2013-2093)
Gravedad:
HighHigh
Fecha publicación : 11/20/2019
Última modificación:
11/22/2019
Descripción:
Dolibarr ERP/CRM versión 3.3.1 no valida apropiadamente la entrada del usuario en los archivos viewimage.php y barcode.lib.php, lo que permite a atacantes remotos ejecutar comandos arbitrarios.
Vulnerabilidad en el archivo kbx/keybox-search.c en GnuPG. (CVE-2015-1607)
Gravedad:
Medium Medium
Fecha publicación : 11/20/2019
Última modificación:
11/22/2019
Descripción:
El archivo kbx/keybox-search.c en GnuPG versiones anteriores a 1.4.19, versiones 2.0.x anteriores a 2.0.27 y versiones 2.1.x anteriores a 2.1.2, no maneja apropiadamente los cambios a la izquierda bit a bit, lo que permite a atacantes remotos causar una denegación de servicio (operación de lectura no válida) por medio de un archivo de llavero diseñado, relacionado con extensiones de signo y "memcpy with overlapping ranges."
Vulnerabilidad en un archivo de llavero en la base de datos de llavero en GnuPG (CVE-2015-1606)
Gravedad:
Medium Medium
Fecha publicación : 11/20/2019
Última modificación:
11/22/2019
Descripción:
La base de datos de llavero en GnuPG versiones anteriores a la versión 2.1.2, no maneja apropiadamente los paquetes no válidos, lo que permite a atacantes remotos causar una denegación de servicio (lectura no válida y uso de la memoria previamente liberada) por medio de un archivo de llavero especialmente diseñado.
Vulnerabilidad en directorios temporales socket/statistics (CVE-2019-3466)
Gravedad:
HighHigh
Fecha publicación : 11/20/2019
Última modificación:
12/03/2019
Descripción:
El script pg_ctlcluster en postgresql-common en versiones anteriores a 210, no eliminó los privilegios cuando se crean directorios temporales socket/statistics, lo que podría resultar en una escalada de privilegios local.
Vulnerabilidad en los sistemas de tiempo de ejecución CODESYS Control en el servidor web CODESYS 3. (CVE-2019-18858)
Gravedad:
HighHigh
Fecha publicación : 11/20/2019
Última modificación:
11/22/2019
Descripción:
El servidor web CODESYS 3 versiones anteriores a la versión 3.5.15.20, distribuido con los sistemas de tiempo de ejecución CODESYS Control, tiene un desbordamiento de búfer.
Vulnerabilidad en un sitio web en IBM Security Identity Manager. (CVE-2019-4561)
Gravedad:
HighHigh
Fecha publicación : 11/20/2019
Última modificación:
11/22/2019
Descripción:
IBM Security Identity Manager versión 6.0.0, podría permitir a un atacante remoto ejecutar código arbitrario sobre el sistema, causado por la deserialización de datos no seguros. Persuadiendo a una víctima para que visite un sitio web especialmente diseñado, un atacante podría explotar esta vulnerabilidad para ejecutar código arbitrario en el sistema. ID de IBM X-Force: 166456.
Vulnerabilidad en eliminación de un registro en IBM Maximo Asset Management. (CVE-2019-4530)
Gravedad:
Medium Medium
Fecha publicación : 11/20/2019
Última modificación:
08/24/2020
Descripción:
IBM Maximo Asset Management versiones 7.6, 7.6.1 y 7.6.1.1, podría permitir a un usuario autenticado eliminar un registro que normalmente no debería ser capaz de hacerlo. ID de IBM X-Force: 165586.
Vulnerabilidad en el controlador RPC en VMware Workstation (CVE-2019-5542)
Gravedad:
Medium Medium
Fecha publicación : 11/20/2019
Última modificación:
11/22/2019
Descripción:
VMware Workstation (versiones 15.x anteriores a 15.5.1) y Fusion (versiones 11.x anteriores a 11.5.1), contienen una vulnerabilidad de denegación de servicio en el controlador RPC. Una explotación con éxito de este problema puede permitir a atacantes con privilegios de usuario normales crear una condición de denegación de servicio en su propia VM.
Vulnerabilidad en todos los navegadores en MAIL2000 (CVE-2019-15073)
Gravedad:
Medium Medium
Fecha publicación : 11/20/2019
Última modificación:
11/22/2019
Descripción:
Una vulnerabilidad de Redireccionamiento Abierto para todos los navegadores en MAIL2000 versiones hasta 6.0 y 7.0, que redireccionará a un sitio malicioso sin autenticación. Esta vulnerabilidad afecta a muchos sistemas de correo de gobiernos, organizaciones, empresas y universidades.
Vulnerabilidad en el XMLFileLookupService en NiFi (CVE-2019-10080)
Gravedad:
Medium Medium
Fecha publicación : 11/19/2019
Última modificación:
01/24/2020
Descripción:
El XMLFileLookupService en NiFi versiones 1.3.0 hasta 1.9.2, permitió a usuarios confiables configurar inadvertidamente un archivo XML potencialmente malicioso. El archivo XML tiene la capacidad de realizar llamadas externas a los servicios (mediante XXE) y revelar información tal y como las versiones de Java, Jersey y Apache que utilizan la instancia de NiFi.
Vulnerabilidad en un mecanismo de autenticación diferente de PKI en el Log Out en NiFi (CVE-2019-12421)
Gravedad:
Medium Medium
Fecha publicación : 11/19/2019
Última modificación:
01/24/2020
Descripción:
Cuando se utiliza un mecanismo de autenticación diferente de PKI, al momento que el usuario hace clic en el Log Out en NiFi versiones 1.0.0 hasta 1.9.2, NiFi invalida el token de autenticación en el lado del cliente pero no en el lado del servidor. Esto permite que el token del lado del cliente del usuario sea usado hasta 12 horas después de cerrar sesión para llevar a cabo peticiones de la API a NiFi.
Vulnerabilidad en un archivo de almacenamiento de cookies en uzbl (CVE-2012-0843)
Gravedad:
LowLow
Fecha publicación : 11/19/2019
Última modificación:
11/22/2019
Descripción:
uzbl: Una divulgación de información mediante un archivo de almacenamiento de cookies de tipo world-readable.
Vulnerabilidad en un paquete hash en tog-Pegasus (CVE-2011-4967)
Gravedad:
Medium Medium
Fecha publicación : 11/19/2019
Última modificación:
11/22/2019
Descripción:
tog-Pegasus presenta una vulnerabilidad de DoS de colisión de paquete hash.
Vulnerabilidad en instance_eval en Distributed Ruby (CVE-2011-5331)
Gravedad:
HighHigh
Fecha publicación : 11/18/2019
Última modificación:
11/22/2019
Descripción:
Distributed Ruby (también se conoce como DRuby) versión 1.8, maneja inapropiadamente a instance_eval.
Vulnerabilidad en el envío de syscalls en Distributed Ruby (CVE-2011-5330)
Gravedad:
HighHigh
Fecha publicación : 11/18/2019
Última modificación:
11/22/2019
Descripción:
Distributed Ruby (también se conoce como DRuby) versión 1.8, maneja inapropiadamente el envío de syscalls.
Vulnerabilidad en las bibliotecas org.codehaus.jackson:jackson-mapper-asl:1.9.x (CVE-2019-10172)
Gravedad:
Medium Medium
Fecha publicación : 11/18/2019
Última modificación:
10/01/2020
Descripción:
Se detectó un fallo en las bibliotecas org.codehaus.jackson:jackson-mapper-asl:1.9.x. Las vulnerabilidades de tipo XML external entity similares a CVE-2016-3720, también afectan a las bibliotecas codehaus jackson-mapper-asl pero en diferentes clases.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.android.lava.powersave en el dispositivo Lava Z61 Android. (CVE-2019-15332)
Gravedad:
LowLow
Fecha publicación : 11/14/2019
Última modificación:
08/24/2020
Descripción:
El dispositivo Lava Z61 Android con una huella digital de compilación de LAVA/Z61_2GB/Z61_2GB:8.1.0/O11019/1533889281:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.android.lava.powersave (versionCode=400, versionName=v4.0.27), que permite a cualquier aplicación ubicada en el dispositivo deshabilitar y habilitar el Wi-Fi mediante programación sin el permiso de acceso correspondiente por medio de una interfaz exportada.
Vulnerabilidad en la función de exportación del módulo de actividad de la base de datos en Moodle (CVE-2012-1155)
Gravedad:
Medium Medium
Fecha publicación : 11/14/2019
Última modificación:
11/22/2019
Descripción:
Moodle posee un problema de permiso de exportación de la actividad de la base de datos donde la función de exportación del módulo de actividad de la base de datos exporta todas las entradas, incluso aquellas de grupos a los que el usuario no pertenece
Vulnerabilidad en contraseña y servicios web en Moodle (CVE-2012-1168)
Gravedad:
Medium Medium
Fecha publicación : 11/14/2019
Última modificación:
11/22/2019
Descripción:
Moodle versiones anteriores a 2.2.2, tiene un problema de contraseña y servicios web donde, cuando el perfil de usuario es actualizado, la contraseña de usuario se restablece si no es especificada.
Vulnerabilidad en copias de seguridad del curso en Moodle. (CVE-2012-1156)
Gravedad:
Medium Medium
Fecha publicación : 11/14/2019
Última modificación:
11/22/2019
Descripción:
Moodle versiones anteriores a 2.2.2, tiene archivos privados de los usuarios incluidos en copias de seguridad del curso.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en Mozilla Network Security Services (CVE-2016-5285)
Gravedad:
Medium Medium
Fecha publicación : 11/15/2019
Última modificación:
01/09/2020
Descripción:
Existe una vulnerabilidad de desreferencia de puntero nulo en Mozilla Network Security Services debido a una falta de verificación NULL en PK11_SignWithSymKey / ssl3_ComputeRecordMACConstantTime, lo que podría permitir que un usuario malintencionado remoto cause una Denegación de servicio.