Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en el Windows Remote Desktop Protocol (CVE-2019-1489)
Gravedad:
Medium Medium
Fecha publicación : 12/10/2019
Última modificación:
12/12/2019
Descripción:
Hay una vulnerabilidad de divulgación de información cuando el Windows Remote Desktop Protocol (RDP) no puede manejar apropiadamente los objetos en memoria, también se conoce como "Remote Desktop Protocol Information Disclosure Vulnerability".
Vulnerabilidad en una página HTML en SQLite en Google Chrome (CVE-2019-13750)
Gravedad:
Medium Medium
Fecha publicación : 12/10/2019
Última modificación:
08/06/2020
Descripción:
Una comprobación de datos insuficiente en SQLite en Google Chrome versiones anteriores a la versión 79.0.3945.79, permitió a un atacante remoto omitir las medidas de defensa en profundidad por medio de una página HTML especialmente diseñada.
Vulnerabilidad en una página HTML en developer tools en Google Chrome. (CVE-2019-13748)
Gravedad:
Medium Medium
Fecha publicación : 12/10/2019
Última modificación:
08/24/2020
Descripción:
Una aplicación de política insuficiente en developer tools en Google Chrome versiones anteriores a la versión 79.0.3945.79, permitió a un atacante local conseguir información potencialmente confidencial desde la memoria del proceso por medio de una página HTML especialmente diseñada.
Vulnerabilidad en una página HTML en rendering en Google Chrome. (CVE-2019-13747)
Gravedad:
Medium Medium
Fecha publicación : 12/10/2019
Última modificación:
08/24/2020
Descripción:
Datos no inicializados en rendering en Google Chrome en Android versiones anteriores a la versión 79.0.3945.79, permitió a un atacante remoto explotar potencialmente una corrupción de la pila por medio de una página HTML especialmente diseñada.
Vulnerabilidad en un contenido de portapapeles en Blink en Google Chrome (CVE-2019-13741)
Gravedad:
Medium Medium
Fecha publicación : 12/10/2019
Última modificación:
08/24/2020
Descripción:
Una comprobación insuficiente de una entrada no confiable en Blink en Google Chrome versiones anteriores a la versión 79.0.3945.79, permitió a un atacante local omitir la política del mismo origen por medio de un contenido de portapapeles especialmente diseñado.
Vulnerabilidad en el componente DataManagement en CA Release Automation (Nolio) (CVE-2019-19230)
Gravedad:
HighHigh
Fecha publicación : 12/09/2019
Última modificación:
12/12/2019
Descripción:
Se presenta una vulnerabilidad de deserialización no segura en CA Release Automation (Nolio) versión 6.6, con el componente DataManagement que puede permitir a un atacante remoto ejecutar código arbitrario.
CVE-2019-19546
Gravedad:
Medium Medium
Fecha publicación : 12/05/2019
Última modificación:
12/12/2019
Descripción:
Norton Password Manager, versiones anteriores a 6.6.2.5, puede ser susceptible a un problema de divulgación de información, que es un tipo de vulnerabilidad mediante la cual se presenta una divulgación involuntaria de información a un actor que no está explícitamente autorizado para tener acceso a esa información.
Vulnerabilidad en la autenticación S/Key o YubiKey en OpenBSD. (CVE-2019-19522)
Gravedad:
HighHigh
Fecha publicación : 12/04/2019
Última modificación:
08/24/2020
Descripción:
OpenBSD versión 6.6, en una configuración no predeterminada donde la autenticación S/Key o YubiKey está habilitada, permite a usuarios locales convertirse a root mediante el aprovechamiento de la membresía en el grupo de autenticación. Esto ocurre porque el archivo root puede ser escrito en /etc/skey o /var/db/yubikey, y no es necesario que sea propiedad de root.
Vulnerabilidad en la función principal en la opción su -L en OpenBSD. (CVE-2019-19519)
Gravedad:
Medium Medium
Fecha publicación : 12/04/2019
Última modificación:
12/12/2019
Descripción:
En OpenBSD versión 6.6, los usuarios locales pueden usar la opción su -L para lograr cualquier clase de inicio de sesión (a menudo excluyendo root) porque hay un bug en la función principal en el archivo su/su.c.
Vulnerabilidad en los archivos gen/auth_subr.c y gen/authenticate.c (CVE-2019-19521)
Gravedad:
HighHigh
Fecha publicación : 12/04/2019
Última modificación:
12/12/2019
Descripción:
libc en OpenBSD versión 6.6, permite omitir la autenticación por medio del nombre de usuario -schallenge, como es demostrado por smtpd, ldapd o radiusd. Esto está relacionado con los archivos gen/auth_subr.c y gen/authenticate.c en libc (y los archivos login/login.c y xenocara/app/xenodm/greeter/verify.c).
Vulnerabilidad en un comando SIZE en freeFTPd (CVE-2019-19383)
Gravedad:
Medium Medium
Fecha publicación : 12/03/2019
Última modificación:
12/12/2019
Descripción:
freeFTPd versión 1.0.8, presenta un Desbordamiento de Búfer Post-Autenticación por medio de un comando SIZE diseñado (esto es explotable incluso si el registro está deshabilitado).
CVE-2019-19523
Gravedad:
Medium Medium
Fecha publicación : 12/03/2019
Última modificación:
01/18/2020
Descripción:
En el kernel de Linux versiones anteriores a 5.3.7, se presenta un bug de uso de la memoria previamente liberada que puede ser causado por un dispositivo USB malicioso en el controlador del drivers/usb/misc/adutux.c, también se conoce como CID-44efc269db79.
Vulnerabilidad en un sitio web en la interfaz web en McAfee Web Advisor (WA) (CVE-2019-3666)
Gravedad:
Medium Medium
Fecha publicación : 12/03/2019
Última modificación:
12/12/2019
Descripción:
Una vulnerabilidad de abuso y uso indebido de la API en la interfaz web en McAfee Web Advisor (WA) versiones anteriores a 4.1.1.48, habilita a un atacante remoto no autenticado para permitir al navegador navegar en sitios web restringidos por medio de un sitio web cuidadosamente diseñado.
Vulnerabilidad en un cambio de contraseña en los dispositivos de control de acceso Anviz (CVE-2019-12394)
Gravedad:
HighHigh
Fecha publicación : 12/02/2019
Última modificación:
12/12/2019
Descripción:
Los dispositivos de control de acceso Anviz, permiten un cambio de contraseña no comprobado, lo que permite a atacantes remotos cambiar la contraseña del administrador sin autenticación previa.
Vulnerabilidad en el puerto tcp/5010 en los dispositivos de control de acceso Anviz (CVE-2019-12388)
Gravedad:
Medium Medium
Fecha publicación : 12/02/2019
Última modificación:
08/24/2020
Descripción:
Los dispositivos de control de acceso Anviz, realizan la transmisión de texto sin cifrar de información confidencial (contraseñas/pines y nombres) al responder una consulta en el puerto tcp/5010.
Vulnerabilidad en el puerto tcp/5010 en los dispositivos de control de acceso Anviz (CVE-2019-12389)
Gravedad:
Medium Medium
Fecha publicación : 12/02/2019
Última modificación:
08/24/2020
Descripción:
Los dispositivos de control de acceso Anviz, exponen las credenciales (nombres y contraseñas) al permitir que los atacantes remotos consulten esta información sin credenciales por medio del puerto tcp/5010.
Vulnerabilidad en el puerto tcp/5010 en los dispositivos de control de acceso Anviz (CVE-2019-12390)
Gravedad:
Medium Medium
Fecha publicación : 12/02/2019
Última modificación:
08/24/2020
Descripción:
Los dispositivos de control de acceso Anviz, exponen información privada (código PIN y nombre) al permitir a atacantes remotos consultar esta información sin credenciales por medio del puerto tcp/5010.
Vulnerabilidad en el registro de eventos del dispositivo en el Sistema de Administración de Anviz (CVE-2019-12391)
Gravedad:
Medium Medium
Fecha publicación : 12/02/2019
Última modificación:
12/12/2019
Descripción:
El Sistema de Administración de Anviz para el control de acceso, presenta un registro insuficiente de los eventos del dispositivo, tal y como las peticiones de apertura de puerta.
Vulnerabilidad en comandos en los dispositivos de control de acceso Anviz (CVE-2019-12392)
Gravedad:
HighHigh
Fecha publicación : 12/02/2019
Última modificación:
08/24/2020
Descripción:
Los dispositivos de control de acceso Anviz, permiten a atacantes remotos emitir comandos sin contraseña.
Vulnerabilidad en las peticiones de apertura de puerta en los dispositivos de control de acceso Anviz (CVE-2019-12393)
Gravedad:
Medium Medium
Fecha publicación : 12/02/2019
Última modificación:
12/12/2019
Descripción:
Los dispositivos de control de acceso Anviz, son vulnerables a ataques de repetición que podrían permitir a atacantes interceptar y reproducir las peticiones de apertura de puerta.
Vulnerabilidad en los certificados CAC en el archivo libopensc/card-cac1.c en OpenSC (CVE-2019-19481)
Gravedad:
LowLow
Fecha publicación : 12/01/2019
Última modificación:
01/24/2020
Descripción:
Se detectó un problema en OpenSC versiones hasta 0.19.0 y versiones 0.20.x hasta 0.20.0-rc3. El archivo libopensc/card-cac1.c maneja inapropiadamente los límites del búfer para los certificados CAC.
Vulnerabilidad en el archivo libopensc/pkcs15-prkey.c en la función sc_pkcs15_decode_prkdf_entry en OpenSC (CVE-2019-19480)
Gravedad:
LowLow
Fecha publicación : 12/01/2019
Última modificación:
01/24/2020
Descripción:
Se detectó un problema en OpenSC versiones hasta 0.19.0 y versiones 0.20.x hasta 0.20.0-rc3. El archivo libopensc/pkcs15-prkey.c presenta una operación liberada incorrecta en la función sc_pkcs15_decode_prkdf_entry.
Vulnerabilidad en el archivo libopensc/card-setcos.c en el análisis de un atributo de archivo SETCOS en OpenSC (CVE-2019-19479)
Gravedad:
LowLow
Fecha publicación : 12/01/2019
Última modificación:
12/25/2019
Descripción:
Se detectó un problema en OpenSC versiones hasta 0.19.0 y versiones 0.20.x hasta 0.20.0-rc3. El archivo libopensc/card-setcos.c presenta una operación de lectura incorrecta durante el análisis de un atributo de archivo SETCOS.
Vulnerabilidad en TMM en BIG-IP (CVE-2019-6669)
Gravedad:
Medium Medium
Fecha publicación : 11/27/2019
Última modificación:
08/24/2020
Descripción:
En BIG-IP versiones 15.0.0 hasta 15.0.1, 14.1.0 hasta 14.1.2, 14.0.0 hasta 14.0.1, 13.1.0 hasta 13.1.3.1, 12.1.0 hasta 12.1.5 y 11.5.1 hasta 11.6 .5.1, el flujo de tráfico no revelado puede causar que TMM se reinicie en algunas circunstancias.
Vulnerabilidad en Traffic Management Microkernel (TMM) en modo HTTP/2 Full Proxy en BIG-IP. (CVE-2019-6673)
Gravedad:
Medium Medium
Fecha publicación : 11/27/2019
Última modificación:
08/24/2020
Descripción:
En las versiones 15.0.0 hasta la versión 15.0.1 y 14.0.0 hasta la versión 14.1.2, cuando BIG-IP se configura en modo HTTP/2 Full Proxy, unas peticiones específicamente diseñadas pueden causar una interrupción del servicio proporcionado por el Traffic Management Microkernel (TMM)
Vulnerabilidad en la detección del actor malo en un servidor virtual wildcard en BIG-IP AFM. (CVE-2019-6672)
Gravedad:
Medium Medium
Fecha publicación : 11/27/2019
Última modificación:
08/24/2020
Descripción:
En BIG-IP AFM versiones 15.0.0 hasta 15.0.1, 14.0.0 hasta 14.1.2 y 13.1.0 hasta 13.1.3.1, cuando la detección del actor malo está configurada en un servidor virtual wildcard en plataformas con sPVA basado en hardware, el rendimiento del sistema BIG-IP AFM se degrada.
Vulnerabilidad en TMM en BIG-IP (CVE-2019-6671)
Gravedad:
Medium Medium
Fecha publicación : 11/27/2019
Última modificación:
12/12/2019
Descripción:
En BIG-IP versiones 15.0.0 hasta la versión 15.0.1, 14.1.0 hasta la versión 14.1.2, 14.0.0 hasta la versión 14.0.1 y 13.1.0 hasta 13.1.3.1, en determinadas condiciones, TMM puede perder memoria cuando procesa fragmentos de paquetes, lo que conlleva a la necesidad de recursos.
Vulnerabilidad en el sistema de archivos en los hipervisores vCMP en BIG-IP (CVE-2019-6670)
Gravedad:
LowLow
Fecha publicación : 11/27/2019
Última modificación:
12/12/2019
Descripción:
En BIG-IP versiones 15.0.0 hasta 15.0.1, 14.1.0 hasta 14.1.2, 14.0.0 hasta 14.0.1, 13.1.0 hasta 13.1.3.1, 12.1.0 hasta 12.1.5 y 11.5.1 hasta 11.6 .5, los hipervisores vCMP están exponiendo incorrectamente la clave de la unidad en texto plano para sus invitados vCMP en el sistema de archivos.
Vulnerabilidad en BIG-IP APM Edge Client para macOS paquetizado con BIG-IP APM. (CVE-2019-6668)
Gravedad:
Medium Medium
Fecha publicación : 11/27/2019
Última modificación:
08/24/2020
Descripción:
BIG-IP APM Edge Client para macOS paquetizado con BIG-IP APM versiones 15.0.0 hasta 15.0.1, 14.1.0 hasta 14.1.0.5, 14.0.0 hasta 14.0.0.4, 13.1.0 hasta 13.1.1.5, 12.1.0 hasta 12.1.5 y 11.5.1 hasta 11.6.5, puede permitir a usuarios sin privilegios acceder a archivos propiedad de root.
Vulnerabilidad en un Servidor Virtual con el perfil FIX en TMM en BIG-IP. (CVE-2019-6667)
Gravedad:
Medium Medium
Fecha publicación : 11/27/2019
Última modificación:
12/12/2019
Descripción:
En BIG-IP versiones 15.0.0 hasta 15.0.1, 14.1.0 hasta 14.1.0.5, 14.0.0 hasta 14.0.0.4, 13.1.0 hasta 13.1.1.5, 12.1.0 hasta 12.1.4.1 y 11.5.1 hasta 11.6 .5, bajo determinadas condiciones, TMM puede consumir recursos excesivos cuando procesa el tráfico de un Servidor Virtual con el perfil FIX aplicado (Financial Information eXchange)
Vulnerabilidad en un valor de encabezado age no válido en TMM en BIG-IP. (CVE-2019-6666)
Gravedad:
Medium Medium
Fecha publicación : 11/27/2019
Última modificación:
08/24/2020
Descripción:
En BIG-IP versiones 15.0.0 hasta la versión 15.0.1, 14.1.0 hasta 14.1.0.5, 14.0.0 hasta 14.0.0.4 y 13.1.0 hasta 13.1.1.4, el proceso TMM puede producir un archivo core cuando un servidor ascendente o una caché envía a BIG-IP un valor de encabezado age no válido.
CVE-2019-6665
Gravedad:
HighHigh
Fecha publicación : 11/27/2019
Última modificación:
08/24/2020
Descripción:
En BIG-IP ASM versiones 15.0.0 hasta 15.0.1, 14.1.0 hasta 14.1.2, 14.0.0 hasta 14.0.1 y 13.1.0 hasta 13.1.3.1, BIG-IQ versiones 6.0.0 y 5.2.0 hasta 5.4.0, iWorkflow versión 2.3.0 y Enterprise Manager versión 3.1.1, un atacante con acceso a la comunicación del dispositivo entre BIG-IP ASM Central Policy Builder y BIG-IQ/Enterprise Manager/F5 iWorkflow podrá configurar el proxy de la misma manera e interceptar el tráfico.
Vulnerabilidad en las herramientas de la suite OpenOffice.org. (CVE-2011-2177)
Gravedad:
Medium Medium
Fecha publicación : 11/27/2019
Última modificación:
12/12/2019
Descripción:
OpenOffice.org versión v3.3, permite una ejecución de código arbitrario con los privilegios del usuario que ejecuta las herramientas de la suite OpenOffice.org.
Vulnerabilidad en un archivo de fuente TTF en el archivo sushi-font-widget.c en la función text_to_glyphs en gnome-font-viewer (CVE-2019-19308)
Gravedad:
Medium Medium
Fecha publicación : 11/27/2019
Última modificación:
12/12/2019
Descripción:
En la función text_to_glyphs en el archivo sushi-font-widget.c en gnome-font-viewer versión 3.34.0, se presenta una desreferencia del puntero NULL mientras se analiza un archivo de fuente TTF que carece de una sección de nombre (debido a una llamada g_strconcat que devuelve NULL).
Vulnerabilidad en la página include/configuration/configObject/traps-mibs/formMibs.php (CVE-2019-15298)
Gravedad:
Medium Medium
Fecha publicación : 11/27/2019
Última modificación:
08/24/2020
Descripción:
Se encontró un problema en Centreon Web versiones hasta 19.04.3. Una inyección de comando autenticada está presente en la página include/configuration/configObject/traps-mibs/formMibs.php. Esta página es llamada desde la interfaz de administración de Centreon. Esta es la funcionalidad de administración mibs que contiene un formulario de archivo. Al momento del envío de un archivo, el parámetro mnftr es enviado a la página y no es filtrado apropiadamente. Esto permite inyectar comandos de Linux directamente.
Vulnerabilidad en un archivo PostScrip en el procedimiento .setuserparams2 de ghostscript. (CVE-2019-14812)
Gravedad:
Medium Medium
Fecha publicación : 11/27/2019
Última modificación:
10/09/2020
Descripción:
Se encontró un fallo en todas las versiones de ghostscript 9.x anteriores a la versión 9.50, en el procedimiento .setuserparams2 donde no aseguraba apropiadamente sus llamadas privilegiadas, permitiendo que los scripts omitieran las restricciones "-dSAFER". Un archivo PostScript especialmente diseñado podría deshabilitar la protección de seguridad y luego tener acceso al sistema de archivos o ejecutar comandos arbitrarios.
Vulnerabilidad en los tokens Nonce en HTTP Digest Authentication en Squid (CVE-2019-18679)
Gravedad:
Medium Medium
Fecha publicación : 11/26/2019
Última modificación:
07/10/2020
Descripción:
Se descubrió un problema en Squid versiones 2.x, 3.x y versiones 4.x hasta 4.8. Debido a una gestión de datos incorrecta, es vulnerable a una divulgación de información cuando se procesa HTTP Digest Authentication. Los tokens Nonce contienen el valor de byte sin procesar de un puntero que se encuentra dentro de la asignación de memoria heap. Esta información reduce las protecciones de ASLR y puede ayudar a atacantes a aislar áreas de memoria para apuntar ataques de ejecución de código remota.
CVE-2019-15688
Gravedad:
Medium Medium
Fecha publicación : 11/26/2019
Última modificación:
12/12/2019
Descripción:
Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free Anti-Virus, Kaspersky Small Office Security, Kaspersky Security Cloud hasta el 2020, el componente web protection no informó adecuadamente al usuario sobre la amenaza de redireccionar a un sitio no seguro . Omisión.
Vulnerabilidad en el componente web protection en Kaspersky Anti-Virus (CVE-2019-15687)
Gravedad:
Medium Medium
Fecha publicación : 11/26/2019
Última modificación:
12/12/2019
Descripción:
Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free Anti-Virus, Kaspersky Small Office Security, Kaspersky Security Cloud hasta el 2020, el componente web protection era vulnerable a una divulgación remota de diversa información sobre el sistema del usuario (como versión de Window y versión del producto, ID único del host). Divulgación de Información.
Vulnerabilidad en el componente web protection en Kaspersky Anti-Virus (CVE-2019-15686)
Gravedad:
Medium Medium
Fecha publicación : 11/26/2019
Última modificación:
08/24/2020
Descripción:
Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free Anti-Virus, Kaspersky Small Office Security, Kaspersky Security Cloud hasta el 2020, el componente web protection permitió a un atacante deshabilitar remotamente varias funcionalidades de protección antivirus. Denegación de Servicio, Omisión.
Vulnerabilidad en el componente web protection en Kaspersky Anti-Virus (CVE-2019-15685)
Gravedad:
Medium Medium
Fecha publicación : 11/26/2019
Última modificación:
08/24/2020
Descripción:
Kaspersky Anti-Virus, Kaspersky Internet Security, Kaspersky Total Security, Kaspersky Free Anti-Virus, Kaspersky Small Office Security, Kaspersky Security Cloud hasta el 2020, el componente web protection permitió a un atacante deshabilitar remotamente las funcionalidades de seguridad del producto tales como navegación privada y anti-banner. Omisión.
Vulnerabilidad en los permisos del proyecto en Cloudera Data Science Workbench (CDSW) (CVE-2018-20090)
Gravedad:
Medium Medium
Fecha publicación : 11/26/2019
Última modificación:
12/12/2019
Descripción:
Se detectó un problema en Cloudera Data Science Workbench (CDSW) versiones 1.4.0 hasta 1.4.2. Los usuarios autenticados pueden omitir las comprobaciones de permisos del proyecto y conseguir acceso de lectura y escritura a cualquier carpeta del proyecto.
Vulnerabilidad en permisos en Cloudera CDH (CVE-2018-17860)
Gravedad:
Medium Medium
Fecha publicación : 11/26/2019
Última modificación:
12/12/2019
Descripción:
Cloudera CDH posee Permisos No Seguros porque TODOS no se pueden revocar, lo que afecta a versiones 5.x hasta 5.15.1 y versiones 6.x hasta 6.0.1.
Vulnerabilidad en la función RealTimeGetHandler en las Consultas Solr en Cloudera Search en CDH (CVE-2016-6353)
Gravedad:
LowLow
Fecha publicación : 11/26/2019
Última modificación:
12/12/2019
Descripción:
Cloudera Search en CDH versiones anteriores a 5.7.0, permite el acceso no autorizado a documentos porque las Consultas Solr por identificación de documento pueden omitir la seguridad a nivel de documento Sentry por medio de la función RealTimeGetHandler.
Vulnerabilidad en usuarios de solo lectura en Cloudera Hue (CVE-2015-7831)
Gravedad:
Medium Medium
Fecha publicación : 11/26/2019
Última modificación:
12/12/2019
Descripción:
En Cloudera Hue, un usuario de solo lectura puede escalar privilegios cuando se utiliza CDH versiones 5.x anteriores a 5.4.9.
Vulnerabilidad en python-ecdsa (CVE-2019-14853)
Gravedad:
Medium Medium
Fecha publicación : 11/26/2019
Última modificación:
12/17/2019
Descripción:
Se encontró un error de manejo de errores en python-ecdsa anterior de la versión 0.13.3. Durante la decodificación de firmas, las firmas DER mal formadas pueden generar excepciones inesperadas (o ninguna excepción), lo que podría conducir a una denegación de servicio.
Vulnerabilidad en mod_auth_openidc anterior de la versión 2. (CVE-2019-14857)
Gravedad:
Medium Medium
Fecha publicación : 11/26/2019
Última modificación:
07/29/2020
Descripción:
Se encontró una fallo en mod_auth_openidc anterior de la versión 2.4.0.1. Existe un problema de redireccionamiento abierto en las URL con barras diagonales en mod_auth_mellon.
CVE-2019-14890
Gravedad:
LowLow
Fecha publicación : 11/26/2019
Última modificación:
12/17/2019
Descripción:
Se encontró una vulnerabilidad en Ansible Tower anterior de la versión 3.6.1, donde un atacante con pocos privilegios podía recuperar nombres de usuario y credenciales de contraseñas del nuevo RHSM guardado en texto plano en la base de datos en '/ api / v2 / config' al aplicar la licencia de Ansible Tower.
Vulnerabilidad en la página Webex Network Recording Admin de Cisco Webex Meetings (CVE-2019-15960)
Gravedad:
Medium Medium
Fecha publicación : 11/26/2019
Última modificación:
12/12/2019
Descripción:
Una vulnerabilidad en la página Webex Network Recording Admin de Cisco Webex Meetings, podría permitir a un atacante remoto autenticado elevar los privilegios en el contexto de la página afectada. Para explotar esta vulnerabilidad, el atacante debe iniciar sesión como administrador de bajo nivel. La vulnerabilidad es debido a una comprobación de control de acceso insuficiente. Un atacante podría explotar esta vulnerabilidad al enviar una petición de URL diseñada para conseguir acceso privilegiado en el contexto de la página afectada. Una explotación con éxito podría permitir al atacante elevar los privilegios en la página Webex Recording Admin, lo que podría permitirle visualizar o eliminar grabaciones a las que normalmente no es capaz de acceder.
Vulnerabilidad en la autenticación en ABB Power Generation Information Manager (PGIM) y Plant Connect (CVE-2019-18250)
Gravedad:
HighHigh
Fecha publicación : 11/25/2019
Última modificación:
12/12/2019
Descripción:
En todas las versiones de ABB Power Generation Information Manager (PGIM) y Plant Connect, el producto afectado es vulnerable a una omisión de autenticación, lo que puede permitir a un atacante omitir remotamente la autenticación y extraer credenciales del dispositivo afectado.
Vulnerabilidad en una URL en la ayuda de vocabulario en el módulo Drupal Views Builk Operations (VBO) (CVE-2011-3373)
Gravedad:
Medium Medium
Fecha publicación : 11/25/2019
Última modificación:
12/12/2019
Descripción:
El módulo Drupal Views Builk Operations (VBO) versiones 6.x-1.0 hasta 6.x-1.10, no escapa apropiadamente de la ayuda de vocabulario cuando el vocabulario ha habilitado el etiquetado del usuario y se utiliza la acción "Modify node taxonomy terms". Un atacante remoto podría proveer una URL especialmente diseñada que podría conllevar a un ataque de tipo cross-site scripting (XSS).

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en una acción export y exporter_id en los archivos cmd.php y list.php en los parámetros filter y filteruid en LDAP Account Manager (LAM) Pro (CVE-2012-1114)
Gravedad:
Medium Medium
Fecha publicación : 12/05/2019
Última modificación:
12/12/2019
Descripción:
Se presenta una vulnerabilidad de tipo Cross-Site Scripting (XSS) en LDAP Account Manager (LAM) Pro versión 3.6, en el parámetro filter en el archivo cmd.php en una acción export y exporter_id y el parámetro filteruid en el archivo list.php.
Vulnerabilidad en la información de la copia de seguridad del usuario del teléfono HiSuite de Huawei (CVE-2019-5263)
Gravedad:
LowLow
Fecha publicación : 11/29/2019
Última modificación:
08/24/2020
Descripción:
HiSuite con versiones 9.1.0.305 y anteriores y 9.1.0.305(MAC) y anteriores y HwBackup con versiones anteriores a 9.1.1.308, presentan una vulnerabilidad de datos de copia de seguridad encriptados por fuerza bruta. La información de la copia de seguridad del usuario del teléfono inteligente Huawei puede ser obtenida mediante fuerza bruta de la contraseña para cifrar la copia de seguridad.
CVE-2019-0155
Gravedad:
HighHigh
Fecha publicación : 11/14/2019
Última modificación:
01/30/2020
Descripción:
Un control de acceso insuficiente en un subsistema para Intel® processor graphics en 6th, 7th, 8th and 9th Generation Intel® Core(TM) Processor Families; Intel® Pentium® Processor J, N, Silver y Gold Series; Intel® Celeron® Processor J, N, G3900 y G4900 Series; Intel® Atom® Processor A y E3900 Series; Intel® Xeon® Processor E3-1500 v5 y v6, E-2100 y E-2200 Processor Families; Intel® Graphics Driver para versiones de Windows anteriores a 26.20.100.6813 (DCH) o 26.20.100.6812 y versiones anteriores a 21.20.x.5077 (también se conoce como 15.45.5077), i915 Linux Driver para Intel® Processor Graphics versiones anteriores a 5.4-rc7, 5.3. 11, 4.19.84, 4.14.154, 4.9.201, 4.4.201, puede habilitar a un usuario autenticado para permitir potencialmente una escalada de privilegios por medio de un acceso local.
Vulnerabilidad en la funcionalidad de análisis JPEG2000 de LEADTOOLS. (CVE-2019-5125)
Gravedad:
Medium Medium
Fecha publicación : 11/06/2019
Última modificación:
12/12/2019
Descripción:
Existe una vulnerabilidad de desbordamiento de la pila explotable en la funcionalidad de análisis JPEG2000 de LEADTOOLS versión 20. Un archivo de imagen J2K especialmente diseñado puede causar una escritura fuera de los límites de un búfer de la pila, resultando potencialmente en una ejecución de código. Un ataque puede diseñar especialmente una imagen J2K para activar esta vulnerabilidad.
Vulnerabilidad en MiniUPnP MiniUPnPd (CVE-2019-12111)
Gravedad:
Medium Medium
Fecha publicación : 05/15/2019
Última modificación:
09/28/2020
Descripción:
Existe una vulnerabilidad de Denegación de Servicio en MiniUPnP MiniUPnPd hasta la versión 2.1, debido a una desreferencia de puntero NULL en copyIPv6IfDifferent en pcpserver.c.
Vulnerabilidad en GetSimple CMS (CVE-2017-10673)
Gravedad:
Medium Medium
Fecha publicación : 06/29/2017
Última modificación:
12/12/2019
Descripción:
admin/profile.php en GetSimple CMS 3.x tiene Cross-Site Scripting (XSS) en un campo name.
Vulnerabilidad en libdwarf (CVE-2017-9998)
Gravedad:
Medium Medium
Fecha publicación : 06/28/2017
Última modificación:
12/12/2019
Descripción:
La función _dwarf_decode_s_leb128_chk del archivo dward_leb.c en libdward hasta el 28-06-2017 permite a un atacante remoto causar una denegación de servicio (fallo de segmentación) mediante la manipulación del archivo.
CVE-2017-1000369
Gravedad:
LowLow
Fecha publicación : 06/19/2017
Última modificación:
12/12/2019
Descripción:
Exim es compatible con el uso de múltiples argumentos de líneas de comandos \"-p\" en los que se emplea la función malloc() y nunca la función free(). Estos argumentos, junto con otros problemas permite que los atacantes provoquen la ejecución de código arbitrario. Esto afecta a las versiones 4.89 y anteriores de exim. Es importante mencionar que en este momento se ha lanzado un parche upstream (commit con ID 65e061b76867a9ea7aeeb535341b790b90ae6c21), pero no se sabe si hay disponible una nueva distribución de punto que trate este problema por el momento.
Vulnerabilidad en el paquete uglify-js para Node.js (CVE-2015-8857)
Gravedad:
HighHigh
Fecha publicación : 01/23/2017
Última modificación:
12/12/2019
Descripción:
El paquete uglify-js en versiones anteriores a 2.4.24 para Node.js no tiene en cuenta adecuadamente los valores no booleanos al reescribir las expresiones booleanas, lo que podrían permitir a atacantes eludir los mecanismos de seguridad o posiblemente tener otro impacto no especificado aprovechando incorrectamente el Javascript reescrito.