Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el listener CBO en diversos productos Snapdragon (CVE-2019-2336)
Gravedad:
Medium Medium
Fecha publicación : 11/21/2019
Última modificación:
11/25/2019
Descripción:
El uso posterior del listener CBO puede resultar en más corrupción en la memoria debido a un problema de uso de la memoria previamente liberada. En los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking en las versiones MDM9205, QCS404, SDX55, SM6150, SM7150, SM8150, SXR2130.
Vulnerabilidad en el kernel en Trustzone en diversos productos Snapdragon (CVE-2019-2318)
Gravedad:
LowLow
Fecha publicación : 11/21/2019
Última modificación:
11/25/2019
Descripción:
El kernel no seguro puede causar que Trustzone cause una lectura de memoria arbitraria que resultará en una DOS en los productos Snapdragon Auto, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking en las versiones APQ8017, APQ8053, APQ8096, APQ8096AU, IPQ8074, MSM8917, MSM8920, MSM8937, MSM8940, MSM8953, MSM8996, MSM8996AU, QCA8081, QM215, SDM429, SDM439, SDM450, SDM632, Snapdragon_High_Med_2016.
Vulnerabilidad en la invocación de la API para copiar desde fd o búfer local al búfer seguro en diversos productos Snapdragon (CVE-2019-2315)
Gravedad:
HighHigh
Fecha publicación : 11/21/2019
Última modificación:
11/25/2019
Descripción:
Durante la invocación de la API para copiar desde fd o búfer local al búfer seguro, los parámetros que están siendo completados provienen de un entorno no seguro. En los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking en las versiones APQ8009, APQ8017, APQ8053, APQ8096, APQ8096AU, APQ8098, MDM9150, MDM9205, MDM9206, MDM9607, MDM9650, MSM8905, MSM8909, MSM8917, MSM8920, MSM8937, MSM8940, MSM8953, MSM8996, MSM8996AU, MSM8998, QCS404, QCS605, QM215, SDA660, SDA845, SDM429, SDM439, SDM450, SDM630, SDM632, SDM636, SDM660, SDM670, SDM710, SDM845, SDM850, SM6150, SM7150, SM8150, Snapdragon_High_Med_2016, SXR1130, SXR2130.
Vulnerabilidad en el procesamiento de mensajes NAN no estándar en el espacio del usuario en diversos productos Snapdragon (CVE-2019-2297)
Gravedad:
Medium Medium
Fecha publicación : 11/21/2019
Última modificación:
11/25/2019
Descripción:
Un desbordamiento de búfer puede presentarse durante el procesamiento de mensajes NAN no estándar desde el espacio del usuario. En los productos Snapdragon Auto, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking in APQ8009, APQ8017, APQ8053, APQ8064, APQ8096AU, IPQ4019, IPQ8064, IPQ8074, MDM9206, MDM9207C, MDM9607, MDM9640, MDM9650, MSM8905, MSM8996AU, QCA6174A, QCA6574AU, QCA9377, QCA9379, QCN7605, QCS405, QCS605, SDA660, SDA845, SDM636, SDM660, SDM845, SDX20, SDX24, SM8150.
Vulnerabilidad en los buffers SysDBG en código SDI en diversos productos Snapdragon (CVE-2019-2295)
Gravedad:
LowLow
Fecha publicación : 11/21/2019
Última modificación:
11/25/2019
Descripción:
Una divulgación de información debido a una falta de comprobación del rango de direcciones realizada en los buffers SysDBG en el código SDI. En los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure and Networking en las versiones APQ8009, APQ8017, APQ8053, MDM9205, MSM8905, MSM8909, MSM8917, MSM8920, MSM8937, MSM8940, MSM8953, MSM8998, Nicobar, QCS404, QCS405, QCS605, QM215, SDA660, SDA845, SDM429, SDM439, SDM450, SDM630, SDM632, SDM636, SDM660, SDM670, SDM710, SDM845, SDM850, Snapdragon_High_Med_2016, SXR1130.
Vulnerabilidad en el MODEM en mensajes NAS en diversos productos Snapdragon (CVE-2019-2289)
Gravedad:
HighHigh
Fecha publicación : 11/21/2019
Última modificación:
08/24/2020
Descripción:
Una falta de comprobación de integridad permite que MODEM acepte cualquiera de los mensajes NAS que pueda resultar en una omisión de autenticación de NAS en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones APQ8009, APQ8017, APQ8053, APQ8096AU, APQ8098, MDM9150, MDM9205, MDM9206, MDM9607, MDM9615, MDM9625, MDM9635M, MDM9640, MDM9650, MDM9655, MSM8905, MSM8909, MSM8909W, MSM8917, MSM8920, MSM8937, MSM8939, MSM8940, MSM8953, MSM8976, MSM8996AU, MSM8998, Nicobar, QCM2150, QCS605, QM215, SC8180X, SDA660, SDA845, SDM429, SDM439, SDM450, SDM630, SDM632, SDM636, SDM660, SDM670, SDM710, SDM845, SDM850, SDX20, SDX24, SDX55, SM6150, SM7150, SM8150, SM8250, Snapdragon_High_Med_2016, SXR1130, SXR2130.
Vulnerabilidad en el sensor de la cámara y la secuencia de alimentación de sus submódulos en el kernel en diversos productos Snapdragon (CVE-2019-2266)
Gravedad:
Medium Medium
Fecha publicación : 11/21/2019
Última modificación:
08/24/2020
Descripción:
Un posible problema de doble liberación en el kernel durante el manejo del sensor de la cámara y la secuencia de alimentación de sus submódulos en los productos Snapdragon Auto, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables, Snapdragon Wired Infrastructure and Networking en las versiones APQ8053, IPQ4019, IPQ8064, MDM9206, MDM9207C, MDM9607, MSM8909, MSM8909W, Nicobar, QCA9980, QCS405, QCS605, SDM845, SDX24, SM7150, SM8150.
Vulnerabilidad en un archivo de mapa de bits cargado desde una fuente no autenticada en diversos productos Snapdragon (CVE-2019-2251)
Gravedad:
HighHigh
Fecha publicación : 11/21/2019
Última modificación:
11/25/2019
Descripción:
Si un archivo de mapa de bits es cargado desde cualquier fuente no autenticada, se presenta la posibilidad de que el mapa de bits pueda causar potencialmente un desbordamiento de búfer de la pila. En los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Connectivity, Snapdragon Consumer Electronics Connectivity, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music en las versiones APQ8016, APQ8096AU, APQ8098, MDM9205, MSM8996AU, MSM8998, Nicobar, QCS405, QCS605, SA6155P, SC8180X, SDA660, SDA845, SDM630, SDM636, SDM660, SDM670, SDM710, SDM845, SDM850, SDX24, SM6150, SM7150, SM8150, SM8250, SXR1130, SXR2130.
Vulnerabilidad en el adaptador de red virtual e1000e en VMware Workstation. (CVE-2019-5541)
Gravedad:
Medium Medium
Fecha publicación : 11/20/2019
Última modificación:
11/25/2019
Descripción:
VMware Workstation (versiones 15.x anteriores a 15.5.1) y Fusion (versiones 11.x anteriores a 11.5.1), contienen una vulnerabilidad de escritura fuera de límites en el adaptador de red virtual e1000e. Una explotación con éxito de este problema puede conllevar a una ejecución de código en el host del invitado o puede permitir a atacantes crear una condición de denegación de servicio en su propia VM.
Vulnerabilidad en los archivos temporales en el almacenamiento de datos PostScript en foomatic-rip filter (CVE-2011-2924)
Gravedad:
LowLow
Fecha publicación : 11/19/2019
Última modificación:
11/25/2019
Descripción:
foomatic-rip filter versión v4.0.12 y anteriores, utilizó archivos temporales creados de manera no segura para el almacenamiento de datos PostScript mediante el renderizado de los datos cuando el modo de depuración fue habilitado. Un atacante local puede explotar este fallo para conducir ataques de enlace simbólico al sobrescribir archivos arbitrarios accesibles con los privilegios del usuario que ejecuta el filtro de impresión universal de foomatic-rip.
Vulnerabilidad en los archivos temporales en el almacenamiento de datos PostScript en foomatic-rip filte (CVE-2011-2923)
Gravedad:
LowLow
Fecha publicación : 11/19/2019
Última modificación:
11/25/2019
Descripción:
El filtro foomatic-rip, todas las versiones, utilizó archivos temporales creados de manera no segura para el almacenamiento de datos PostScript mediante el renderizado de los datos cuando el modo de depuración fue habilitado. Un atacante local puede explotar este fallo para conducir ataques de enlace simbólico al sobrescribir archivos arbitrarios accesibles con los privilegios del usuario que ejecuta el filtro de impresión universal de foomatic-rip.
Vulnerabilidad en el nombre de host de un certificado en nuSOAP (CVE-2012-6071)
Gravedad:
Medium Medium
Fecha publicación : 11/19/2019
Última modificación:
11/25/2019
Descripción:
nuSOAP versiones anteriores a 0.7.3-5, no comprueba apropiadamente el nombre de host de un certificado.
Vulnerabilidad en el Central Authentication Service (CAS) en el módulo de autenticación bb-auth-provider-cas dentro de Blackboard Learn. (CVE-2018-13257)
Gravedad:
Medium Medium
Fecha publicación : 11/18/2019
Última modificación:
11/25/2019
Descripción:
El módulo de autenticación bb-auth-provider-cas dentro de Blackboard Learn versión 2018-07-02, es susceptible a una suplantación de encabezado del host HTTP durante la comprobación de tickets del servicio del Central Authentication Service (CAS), permitiendo un ataque de phishing desde la página de inicio de sesión del servidor CAS.
Vulnerabilidad en Symantec Endpoint Protection (SEP) (CVE-2019-12757)
Gravedad:
Medium Medium
Fecha publicación : 11/15/2019
Última modificación:
08/24/2020
Descripción:
Symantec Endpoint Protection (SEP), versiones anteriores a la versión 14.2 RU2 y 12.1 RU6 MP10 y Symantec Endpoint Protection Small Business Edition (SEP SBE) versiones anteriores a la versión 12.1 RU6 MP10d (12.1.7510.7002), puede ser susceptible a una vulnerabilidad de escalada de privilegios, que es un tipo de problema por el cual un atacante puede intentar comprometer la aplicación de software para conseguir un acceso elevado a recursos que normalmente están protegidos de una aplicación o un usuario.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.miui.powerkeeper (CVE-2019-15428)
Gravedad:
LowLow
Fecha publicación : 11/14/2019
Última modificación:
11/25/2019
Descripción:
El dispositivo Xiaomi Mi Note 2 Android con una huella digital de compilación de Xiaomi/scorpio/scorpio:6.0.1/MXB48T/7.1.5:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.miui.powerkeeper (versionCode=40000, versionName=4.0.00), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.qiku.cleaner en el dispositivo Bluboo D3 Pro Android (CVE-2019-15430)
Gravedad:
LowLow
Fecha publicación : 11/14/2019
Última modificación:
08/24/2020
Descripción:
El dispositivo Bluboo D3 Pro Android con una huella digital de BLUBOO/Bluboo_D2_Pro/Bluboo_D2_Pro:7.0/NRD90M/1510370501:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.qiku.cleaner (versionCode=2, versionName=2.0.0_VER_32516508295515), que permite a otras aplicaciones preinstaladas realizar modificaciones de las propiedades del sistema por medio de un componente de aplicación accesible. Esta capacidad puede ser accedida mediante cualquier aplicación preinstalada en el dispositivo que pueda obtener permisos signatureOrSystem que son requeridos mediante otras aplicaciones preinstaladas que exportaron sus capacidades hacia otra aplicación preinstalada.
Vulnerabilidad en aplicación com.ovvi.modem en el dispositivo Panasonic ELUGA_I9 Android (CVE-2019-15429)
Gravedad:
HighHigh
Fecha publicación : 11/14/2019
Última modificación:
05/19/2020
Descripción:
El dispositivo Panasonic ELUGA_I9 Android con una huella digital de Panasonic/ELUGA_I9/ELUGA_I9:7.0/NRD90M/1501740649:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.ovvi.modem (versionCode=1, versionName=1), que permite comandos controlados por un atacante no autorizado mediante un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada sobre el dispositivo.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.miui.powerkeeper (CVE-2019-15427)
Gravedad:
LowLow
Fecha publicación : 11/14/2019
Última modificación:
11/25/2019
Descripción:
El dispositivo Xiaomi Mi Mix Android con una huella digital de compilación de Xiaomi/lithium/lithium:6.0.1/MXB48T/7.1.5:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.miui.powerkeeper (versionCode=40000, versionName=4.0.00), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.android.lava.powersave en el dispositivo Lava Z60s Android. (CVE-2019-15339)
Gravedad:
LowLow
Fecha publicación : 11/14/2019
Última modificación:
11/25/2019
Descripción:
El dispositivo Lava Z60s Android con una huella digital de compilación de LAVA/Z60s/Z60s:8.1.0/O11019/1530331229:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.android.lava.powersave (versionCode=400, versionName=v4.0.27), que permite a cualquier aplicación ubicada en el dispositivo deshabilitar y habilitar el Wi-Fi mediante programación sin el permiso de acceso correspondiente por medio de una interfaz exportada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.huaqin.factory en el dispositivo Xiaomi Redmi 6 Pro Android. (CVE-2019-15340)
Gravedad:
LowLow
Fecha publicación : 11/14/2019
Última modificación:
11/25/2019
Descripción:
El dispositivo Xiaomi Redmi 6 Pro Android con una huella digital de compilación de xiaomi/sakura_india/sakura_india:8.1.0/OPM1.171019.019/V9.6.4.0.ODMMIFD:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.huaqin.factory (versionCode=1, versionName=QL1715_201805292006), que permite a cualquier aplicación ubicada en el dispositivo deshabilitar y habilitar el Wi-Fi, Bluetooth y GPS mediante programación sin el permiso de acceso correspondiente por medio de una interfaz exportada.
Vulnerabilidad en una aplicación de plataforma preinstalada con un nombre de paquete de com.lovelyfont.defcontainer en el dispositivo Tecno Camon iAir 2 Plus Android. (CVE-2019-15341)
Gravedad:
HighHigh
Fecha publicación : 11/14/2019
Última modificación:
08/24/2020
Descripción:
El dispositivo Tecno Camon iAir 2 Plus Android con una huella digital de compilación de TECNO/H622/TECNO-ID3k:8.1.0/O11019/E-180914V83:user/release-keys, contiene una aplicación de plataforma preinstalada con un nombre de paquete de com.lovelyfont.defcontainer (versionCode=7, versionName=7.0.11). Esta aplicación contiene un servicio exportado llamado com.lovelyfont.manager.service.FunctionService que permite a cualquier aplicación ubicada en el dispositivo suministrar la ruta de archivo a un archivo Ejecutable Dalvik (DEX) que se cargará dinámicamente dentro de su propio proceso y se ejecutará con sus propios privilegios del sistema. Esta aplicación no puede ser deshabilitada por parte del usuario y el ataque puede ser realizado por una aplicación de permiso cero. Ejecutando comandos como el usuario del sistema puede permitir a una aplicación de terceros grabar en video la pantalla del usuario, restablecer de fábrica el dispositivo, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la interfaz gráfica de usuario (GUI) y obtener mensajes de texto del usuario y más. Ejecutando código como el usuario del sistema puede permitir a una aplicación de terceros restablecer de fábrica el dispositivo, obtener las contraseñas de Wi-Fi del usuario, obtener las notificaciones del usuario, leer los registros de logcat, inyectar eventos en la GUI, cambiar el Input Method Editor (IME) predeterminado (p. Ej., Teclado) con un contenido en la aplicación de ataque que contiene la funcionalidad keylogging, y obtener los mensajes de texto del usuario, y más.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl en el dispositivo Coolpad N3C Android (CVE-2019-15353)
Gravedad:
LowLow
Fecha publicación : 11/14/2019
Última modificación:
08/24/2020
Descripción:
El dispositivo Coolpad N3C Android con una huella digital de compilación de Coolpad/N3C/N3C:8.1.0/O11019/1538236809:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada en el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización apropiada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (CVE-2019-15354)
Gravedad:
LowLow
Fecha publicación : 11/14/2019
Última modificación:
08/24/2020
Descripción:
El dispositivo Ulefone Armor 5 Android con una huella digital de compilación de Ulefone/Ulefone_Armor_5/Ulefone_Armor_5:8.1.0/O11019/1528806701:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.wfo.impl (versionCode=27, versionName=8.1.0), que permite a cualquier aplicación ubicada sobre el dispositivo modificar una propiedad del sistema por medio de una interfaz exportada sin la autorización apropiada.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.huaqin.factory en el dispositivo Xiaomi Redmi 5 Android. (CVE-2019-15415)
Gravedad:
LowLow
Fecha publicación : 11/14/2019
Última modificación:
11/25/2019
Descripción:
El dispositivo Xiaomi Redmi 5 Android con una huella digital de compilación de xiaomi/vince/vince:7.1.2/N2G47H/V9.5.4.0.NEGMIFA:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.huaqin.factory (versionCode=1, versionName=QL1711_201803291645), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.lovelyfont.defcontainer en el dispositivo Asus ASUS_X015_1 Android. (CVE-2019-15419)
Gravedad:
HighHigh
Fecha publicación : 11/14/2019
Última modificación:
11/25/2019
Descripción:
El dispositivo Asus ASUS_X015_1 Android con una huella digital de compilación de asus/CN_X015/ASUS_X015_1:7.0/NRD90M/CN_X015-14.00.1709.35-20171215:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.lovelyfont.defcontainer (versionCode=5, versionName=5.0.1), que permite una ejecución de comandos no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.factorymode (CVE-2019-15425)
Gravedad:
LowLow
Fecha publicación : 11/14/2019
Última modificación:
11/25/2019
Descripción:
El dispositivo Kata M4s Android con una huella digital de compilación de alps/full_hct6750_66_n/hct6750_66_n:7.0/NRD90M/1495624556:user/test-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.mediatek.factorymode (versionCode=1, versionName=1), que permite la modificación de la configuración inalámbrica no autorizada mediante un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo.
Vulnerabilidad en una aplicación preinstalada con un nombre de paquete de aplicación com.miui.powerkeeper (CVE-2019-15426)
Gravedad:
LowLow
Fecha publicación : 11/14/2019
Última modificación:
11/25/2019
Descripción:
El dispositivo Xiaomi 5S Plus Android con una huella digital de compilación de Xiaomi/natrium/natrium:6.0.1/MXB48T/7.1.5:user/release-keys, contiene una aplicación preinstalada con un nombre de paquete de aplicación com.miui.powerkeeper (versionCode=40000, versionName=4.0.00), que permite la modificación de la configuración inalámbrica no autorizada por medio de un ataque de tipo confused deputy. Esta capacidad puede ser accedida mediante cualquier aplicación ubicada en el dispositivo.
Vulnerabilidad en enlaces simbólicos en pithos. (CVE-2010-4817)
Gravedad:
LowLow
Fecha publicación : 11/13/2019
Última modificación:
11/25/2019
Descripción:
pithos versiones anteriores a la versión 0.3.5, permite sobrescribir archivos arbitrarios por medio de enlaces simbólicos.
Vulnerabilidad en el servicio SMB en NETGEAR WNR3500U y WNR3500L (CVE-2013-4657)
Gravedad:
HighHigh
Fecha publicación : 11/13/2019
Última modificación:
11/25/2019
Descripción:
Una vulnerabilidad de Salto de Enlace Simbólico en NETGEAR WNR3500U y WNR3500L, debido a una configuración inapropiada en el servicio SMB.
Vulnerabilidad en TP-LINK TL-WDR4300 y TL-1043ND (CVE-2013-4654)
Gravedad:
HighHigh
Fecha publicación : 11/13/2019
Última modificación:
11/25/2019
Descripción:
Una vulnerabilidad de Salto de Enlace Simbólico en TP-LINK TL-WDR4300 y TL-1043ND.
Vulnerabilidad en el servicio SMB en ASUS RT-AC66U y RT-N56U (CVE-2013-4656)
Gravedad:
HighHigh
Fecha publicación : 11/13/2019
Última modificación:
11/25/2019
Descripción:
Una vulnerabilidad de Salto de Enlace Simbólico en ASUS RT-AC66U y RT-N56U debido a una configuración inapropiada en el servicio SMB.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el mensaje Attach Reject en diversos productos Snapdragon (CVE-2019-2335)
Gravedad:
Medium Medium
Fecha publicación : 11/21/2019
Última modificación:
05/06/2020
Descripción:
Durante el procesamiento del mensaje Attach Reject, la condición de salida Válida no se cumple, resultando en un bucle infinito en los productos Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon IoT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wearables en las versiones APQ8009, APQ8017, APQ8053, APQ8096AU, APQ8098, MDM9150, MDM9205, MDM9206, MDM9607, MDM9615, MDM9625, MDM9635M, MDM9640, MDM9650, MDM9655, MSM8905, MSM8909, MSM8909W, MSM8917, MSM8920, MSM8937, MSM8940, MSM8953, MSM8976, MSM8996AU, MSM8998, Nicobar, QCM2150, QCS605, QM215, SC8180X, SDA660, SDA845, SDM429, SDM439, SDM450, SDM630, SDM632, SDM636, SDM660, SDM670, SDM710, SDM845, SDM850, SDX20, SDX55, SM6150, SM7150, SM8150, SM8250, Snapdragon_High_Med_2016, SXR1130, SXR2130.
Vulnerabilidad en la configuración predeterminada en pam_shield (CVE-2012-2350)
Gravedad:
Medium Medium
Fecha publicación : 11/21/2019
Última modificación:
11/25/2019
Descripción:
pam_shield versiones anteriores a 0.9.4: la configuración predeterminada no realiza una acción protectora
Vulnerabilidad en desbordamiento de búfer basadas en pila en Sniffit (CVE-2014-5439)
Gravedad:
HighHigh
Fecha publicación : 11/19/2019
Última modificación:
02/07/2020
Descripción:
Existen varias vulnerabilidades de desbordamiento de búfer basadas en pila en Sniffit anterior a la versión 0.3.7 a través de un archivo de configuración especialmente diseñado que omitirá el bit NX no ejecutable, el SSP protector de aplastamiento de pila y los mecanismos de protección ASLR de aleatorización del diseño de espacio de direcciones, lo que podría permitir que un usuario malintencionado se ejecute código arbitrario
Vulnerabilidad en Play Framework (CVE-2018-13864)
Gravedad:
Medium Medium
Fecha publicación : 07/17/2018
Última modificación:
11/25/2019
Descripción:
Se ha encontrado una vulnerabilidad de salto de directorio en el controlador Assets en Play Framework desde la versión 2.6.12 hasta la 2.6.15 (solucionado en la 2.6.16) al ejecutarse en Windows. Permite que un atacante remoto descargue archivos arbitrarios desde el servidor objetivo mediante peticiones HTTP especialmente manipuladas.
Vulnerabilidad en la función multipleTransfer de Neo Genesis Token (CVE-2018-14006)
Gravedad:
Medium Medium
Fecha publicación : 07/12/2018
Última modificación:
11/25/2019
Descripción:
Existe una vulnerabilidad de desbordamiento de enteros en la función multipleTransfer de Neo Genesis Token (NGT), un token de contrato inteligente de Ethereum. Un atacante podría emplearla para asignar el balance de cualquier usuario.
Vulnerabilidad en el token MyYLC de Ethereum (CVE-2018-13781)
Gravedad:
Medium Medium
Fecha publicación : 07/09/2018
Última modificación:
11/25/2019
Descripción:
La función mintToken de una implementación de contrato inteligente para MyYLC, un token de Ethereum, tiene un desbordamiento de enteros que permite al propietario del contrato establecer cualquier valor para el balance de un usuario arbitrario.
Vulnerabilidad en la funcionalidad de procesamiento de Java XML en Play (CVE-2014-3630)
Gravedad:
HighHigh
Fecha publicación : 12/29/2017
Última modificación:
11/25/2019
Descripción:
Vulnerabilidad de XEE (XML External Entity) en la funcionalidad de procesamiento de Java XML en Play, en versiones anteriores a la 2.2.6 y versiones 2.3.x anteriores a la 2.3.5, podría permitir a atacantes remotos leer archivos arbitrarios, provocar una denegación de servicio (DoS) o causar otro tipo de impacto no especificado mediante datos XML manipulados.
CVE-2015-2156
Gravedad:
Medium Medium
Fecha publicación : 10/18/2017
Última modificación:
11/25/2019
Descripción:
Netty en versiones anteriores a la 3.9.8.Final, 3.10.x anteriores a la 3.10.3.Final, 4.0.x anteriores a la 4.0.28.Final y 4.1.x anteriores a la 4.1.0.Beta5 y Play Framework 2.x en versiones anteriores a la 2.3.9 podría permitir que atacantes remotos omitan el indicador httpOnly en las cookies y obtengan información sensible aprovechando la validación incorrecta del nombre de la cookie y los caracteres del valor.
Vulnerabilidad en FUDforum (CVE-2013-5309)
Gravedad:
LowLow
Fecha publicación : 08/16/2013
Última modificación:
11/25/2019
Descripción:
Vulnerabilidad Cross-site scripting (XSS) en install/forum_data/src/custom_fields.inc.t en FUDforum v3.0.4.1 y anteriores, cuando se registra un nuevo usuario, permite a atacantes remotos inyectar secuencias de comandos web o HTML a través del campo de perfil personalizado a index.php. NOTA: algunos de estos detalles han sido obtenidos de información de terceros.