Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en un archivo .md local en GitBook. (CVE-2019-19596)
Gravedad:
LowLow
Fecha publicación : 12/05/2019
Última modificación:
12/06/2019
Descripción:
GitBook versiones hasta la versión 2.6.9, permite un ataque de tipo XSS por medio de un archivo .md local.
Vulnerabilidad en procesador de mensajes en la Consola de Administración en WSO2 (CVE-2019-19587)
Gravedad:
Medium Medium
Fecha publicación : 12/04/2019
Última modificación:
12/06/2019
Descripción:
En WSO2 Enterprise Integrator versión 6.5.0, ocurre un ataque de tipo XSS reflejado durante la actualización de la configuración del procesador de mensajes desde la vista de origen en la Consola de Administración.
Vulnerabilidad en el URI en una petición csshero_action=edit_page en el plugin CSS Hero para WordPress. (CVE-2019-19133)
Gravedad:
Medium Medium
Fecha publicación : 12/04/2019
Última modificación:
12/09/2019
Descripción:
El plugin CSS Hero versiones hasta 4.0.3 para WordPress, es propenso a un ataque de tipo XSS reflejado por medio del URI en una petición csshero_action=edit_page porque no puede sanear suficientemente la entrada suministrada por el usuario. Un atacante puede aprovechar este problema para ejecutar JavaScript arbitrario en el navegador de un usuario desprevenido en el contexto del sitio afectado. Esto puede permitir al atacante robar las cookies o iniciar otros ataques..
Vulnerabilidad en la consola del administrador en QTS en QNAP. (CVE-2019-7197)
Gravedad:
LowLow
Fecha publicación : 12/04/2019
Última modificación:
12/06/2019
Descripción:
Ha sido reportado que una vulnerabilidad de tipo cross-site scripting (XSS) almacenado afecta a múltiples versiones de QTS. Si es explotada, esta vulnerabilidad puede permitir a un atacante inyectar y ejecutar scripts en la consola del administrador. Para corregir esta vulnerabilidad, QNAP recomienda actualizar QTS a la última versión.
Vulnerabilidad en un tarball en uscan en devscripts (CVE-2013-7325)
Gravedad:
Medium Medium
Fecha publicación : 12/03/2019
Última modificación:
12/06/2019
Descripción:
Existe un problema en uscan en devscripts versiones anteriores a la versión 2.13.19, que podría permitir a un usuario malicioso remoto ejecutar código arbitrario por medio de un tarball especialmente diseñado.
Vulnerabilidad en una petición HTTP en el procesamiento de peticiones datos de formulario multiparte dentro de la aplicación base del servidor web GoAhead (CVE-2019-5097)
Gravedad:
Medium Medium
Fecha publicación : 12/03/2019
Última modificación:
12/06/2019
Descripción:
Se presenta una vulnerabilidad de denegación de servicio en el procesamiento de peticiones datos de formulario multiparte dentro de la aplicación base del servidor web GoAhead en versiones v5.0.1, v.4.1.1 y v3.6.5. Una petición HTTP especialmente diseñada puede conllevar a un bucle infinito en el proceso. La petición puede no ser autenticada en la forma de peticiones GET o POST y no requiere que el recurso solicitado exista en el servidor.
Vulnerabilidad en el analizador BMP de igcore19d.dll de la biblioteca ImageGear. (CVE-2019-5133)
Gravedad:
Medium Medium
Fecha publicación : 12/03/2019
Última modificación:
12/06/2019
Descripción:
Existe una vulnerabilidad de escritura fuera de límites explotable en el analizador BMP de igcore19d.dll de la biblioteca ImageGear versión 19.3.0. Un archivo BMP especialmente diseñado puede causar una escritura fuera de límites, resultando en una ejecución de código remota. Un atacante necesita proporcionar un archivo malformado a la víctima para activar la vulnerabilidad.
Vulnerabilidad en el analizador de GEM Raster de igcore19d.dll de la biblioteca Accusoft ImageGear (CVE-2019-5132)
Gravedad:
Medium Medium
Fecha publicación : 12/03/2019
Última modificación:
12/06/2019
Descripción:
Existe una vulnerabilidad de escritura fuera de límites explotable en el analizador de GEM Raster de igcore19d.dll de la biblioteca Accusoft ImageGear versión 19.3.0. Un archivo GEM especialmente diseñado puede causar una escritura fuera de límites, resultando en una ejecución de código remota. Un atacante necesita proporcionar un archivo malformado a la víctima para activar la vulnerabilidad.
Vulnerabilidad en una petición HTTP en el procesamiento de peticiones de datos de formulario multiparte dentro de la aplicación base del servidor web GoAhead (CVE-2019-5096)
Gravedad:
HighHigh
Fecha publicación : 12/03/2019
Última modificación:
12/06/2019
Descripción:
Se presenta una vulnerabilidad de ejecución de código explotable en el procesamiento de peticiones de datos de formulario multiparte dentro de la aplicación base del servidor web GoAhead en versiones v5.0.1, v.4.1.1 y v3.6.5. Una petición HTTP especialmente diseñada puede generar una condición de uso de la memoria previamente liberada del procesamiento de esta petición que puede ser utilizada para corromper las estructuras de la pila lo que podrían conllevar a una ejecución completa del código. La petición puede no ser autenticada en la forma de peticiones GET o POST, y no requiere que el recurso solicitado exista en el servidor.
Vulnerabilidad en la función TIFdecodethunderscan de igcore19d.dll de la biblioteca Accusoft ImageGear (CVE-2019-5083)
Gravedad:
Medium Medium
Fecha publicación : 12/03/2019
Última modificación:
12/06/2019
Descripción:
Se presenta una vulnerabilidad de escritura fuera de límites explotable en la función TIFdecodethunderscan de igcore19d.dll de la biblioteca Accusoft ImageGear versión 19.3.0. Un archivo TIFF especialmente diseñado puede causar una escritura fuera de límites, resultando en una ejecución de código remota. Un atacante necesita proporcionar un archivo malformado a la víctima para activar la vulnerabilidad.
Vulnerabilidad en el analizador de encabezado PNG de igcore19d.dll de la biblioteca Accusoft ImageGear (CVE-2019-5076)
Gravedad:
Medium Medium
Fecha publicación : 12/03/2019
Última modificación:
12/06/2019
Descripción:
Se presenta una vulnerabilidad de escritura fuera de límites explotable en el analizador de encabezado PNG de igcore19d.dll de la biblioteca Accusoft ImageGear versión 19.3.0. Un archivo PNG especialmente diseñado puede causar una escritura fuera de límites, resultando en una ejecución de código remota. Un atacante necesita proporcionar un archivo malformado a la víctima para activar la vulnerabilidad.
Vulnerabilidad en el parámetro addto para fup en Frams' Fast File Exchange. (CVE-2014-3875)
Gravedad:
Medium Medium
Fecha publicación : 11/27/2019
Última modificación:
12/06/2019
Descripción:
El parámetro addto para fup en Frams' Fast File EXchange (F*EX, también se conoce como fex) versiones anteriores a la versión fex-2014053, permite a atacantes remotos realizar ataques de tipo cross-site scripting (XSS).
Vulnerabilidad en el kernel de Linux (CVE-2019-14896)
Gravedad:
HighHigh
Fecha publicación : 11/27/2019
Última modificación:
01/03/2020
Descripción:
Se encontró una vulnerabilidad de desbordamiento de búfer basada en el montón en el kernel de Linux, versión kernel-2.6.32, en el controlador de chip WiFi Marvell. Un atacante remoto podría causar una denegación de servicio (bloqueo del sistema) o, posiblemente, ejecutar código arbitrario, cuando se llama a la función lbs_ibss_join_existing después de que una STA se conecta a un AP.
Vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Communications Domain Manager (Unified CDM) (CVE-2019-15968)
Gravedad:
LowLow
Fecha publicación : 11/26/2019
Última modificación:
12/06/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Unified Communications Domain Manager (Unified CDM), podría permitir a un atacante remoto autenticado realizar un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz de administración basada en web de un afectado sistema. La vulnerabilidad es debido a una comprobación insuficiente de la información suministrada por el usuario mediante la interfaz de administración basada en web de un sistema afectado. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario de la interfaz para cliquear sobre un enlace diseñado. Una explotación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información basada en el navegador confidencial.
Vulnerabilidad en la Interfaz de Usuario basada en web vManage (web UI) de Cisco SD-WAN Solution (CVE-2019-16002)
Gravedad:
Medium Medium
Fecha publicación : 11/26/2019
Última modificación:
12/06/2019
Descripción:
Una vulnerabilidad en la Interfaz de Usuario basada en web vManage (web UI) de Cisco SD-WAN Solution, podría permitir a un atacante remoto no autenticado realizar un ataque de tipo cross-site request forgery (CSRF) en un sistema afectado. La vulnerabilidad es debido a protecciones contra CSRF insuficientes para la interfaz de usuario web en una instancia afectada de vManage. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario para seguir un enlace malicioso. Una explotación con éxito podría permitir al atacante llevar a cabo acciones arbitrarias con el nivel de privilegio del usuario afectado.
Vulnerabilidad en la interfaz de administración basada en web de Cisco Stealthwatch Enterprise (CVE-2019-15994)
Gravedad:
Medium Medium
Fecha publicación : 11/26/2019
Última modificación:
12/06/2019
Descripción:
Una vulnerabilidad en la interfaz de administración basada en web de Cisco Stealthwatch Enterprise, podría permitir a un atacante remoto no autenticado realizar un ataque de tipo cross-site scripting (XSS) contra un usuario de la interfaz de administración basada en web de un sistema afectado. La vulnerabilidad es debido a una comprobación insuficiente de la entrada suministrada por el usuario mediante la interfaz de administración basada en web del software afectado. Un atacante podría explotar esta vulnerabilidad al persuadir a un usuario para cliquear sobre un enlace diseñado. Una explotación con éxito podría permitir al atacante ejecutar código de script arbitrario en el contexto de la interfaz afectada o acceder a información basada en el navegador confidencial.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en libgwenhywfar (CVE-2015-7542)
Gravedad:
Medium Medium
Fecha publicación : 12/03/2019
Última modificación:
02/03/2020
Descripción:
Existe una vulnerabilidad en libgwenhywfar hasta la versión 4.12.0 debido al uso de certificados de CA empaquetados obsoletos.