Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en múltiples SONY Wireless Headphones (CVE-2020-5589)
Gravedad:
HighHigh
Fecha publicación : 06/09/2020
Última modificación:
06/23/2020
Descripción:
SONY Wireless Headphones WF-1000X, WF-SP700N, WH-1000XM2, WH-1000XM3, WH-CH700N, WH-H900N, WH-XB700, WH-XB900N, WI-1000X, WI-C600N y WI-SP600N con versiones de firmware anteriores a la 4.5.2 tienen la vulnerabilidad de que alguien dentro del rango del Bluetooth pueda hacer el emparejamiento Bluetooth y operar como cambiar el volumen del producto
Vulnerabilidad en el registro del Firewall en el servicio proxy Palo Alto Networks PAN-OS Panorama (CVE-2020-2018)
Gravedad:
HighHigh
Fecha publicación : 05/13/2020
Última modificación:
06/23/2020
Descripción:
Una vulnerabilidad de omisión de autentificación en la función de conmutación de contexto de Panorama permite a un atacante con acceso de red a la interfaz de gestión de Panorama obtener un acceso privilegiado a la gestión del Firewall. Un atacante requiere cierto conocimiento de la gestión del Firewall para explotar esta cuestión. Este problema no afecta a Panorama configurado con certificados personalizados de autenticación para la comunicación entre Panorama y los dispositivos gestionados. Este problema afecta: PAN-OS versiones 7.1 anteriores a 7.1.26; PAN-OS versiones 8.0 anteriores a 8.0.21; PAN-OS versiones 8.1 anteriores a 8.1.12; PAN-OS versiones 9.0 anteriores a 9.0.6
Vulnerabilidad en la opción ftps-extensions en la FTP ALG en los servicios SRX en el servidor FTPS (CVE-2015-5361)
Gravedad:
Medium Medium
Fecha publicación : 02/28/2020
Última modificación:
05/16/2022
Descripción:
Antecedentes Para el tráfico FTP normal, no cifrado, el ALG FTP puede inspeccionar el canal de control no cifrado y abrir sesiones relacionadas para el canal de datos FTP. Estas sesiones relacionadas (gates) son específicas para las IPs de origen y destino y los puertos del cliente y del servidor. La intención del diseño de la opción ftps-extensions (que está desactivada por defecto) es proporcionar una funcionalidad similar cuando el SRX asegura el cliente FTP/FTPS. Como el canal de control está cifrado, el ALG de FTP no puede inspeccionar la información específica del puerto y abrirá un canal de datos TCP más amplio (puerta) desde la IP del cliente a la IP del servidor en todos los puertos TCP de destino. En entornos de clientes FTP/FTPS a una red empresarial o a Internet, este es el comportamiento deseado, ya que permite escribir la política del cortafuegos a los servidores FTP/FTPS en puertos de control conocidos sin utilizar una política con IP de destino ANY y puerto de destino ANY. Problema La opción ftps-extensions no está pensada ni recomendada cuando el SRX protege el servidor FTPS, ya que la sesión de canal de datos amplio (puerta) permitirá al cliente FTPS acceder temporalmente a todos los puertos TCP del servidor FTPS. La sesión de datos está asociada al canal de control y se cerrará cuando se cierre la sesión del canal de control. Dependiendo de la configuración del servidor FTPS, del balanceador de carga que lo soporta y de los valores de tiempo de espera de inactividad del SRX, el servidor/balanceador de carga y el SRX pueden mantener el canal de control abierto durante un periodo de tiempo prolongado, permitiendo el acceso de un cliente FTPS durante un periodo igual. Tenga en cuenta que la opción ftps-extensions no está habilitada por defecto
Vulnerabilidad en el servidor de aplicaciones en LPAR2RRD (CVE-2014-4982)
Gravedad:
HighHigh
Fecha publicación : 01/10/2020
Última modificación:
05/16/2022
Descripción:
LPAR2RRD ? 4.53 y ? 3.5 tienen inyección de comandos arbitrarios en el servidor de aplicaciones
Vulnerabilidad en el plugin Jenkins Dingding (CVE-2019-10433)
Gravedad:
LowLow
Fecha publicación : 10/01/2019
Última modificación:
05/16/2022
Descripción:
El plugin Jenkins Dingding almacena las credenciales sin encriptar en los archivos config.xml de los trabajos en el master de Jenkins, donde pueden ser vistos por usuarios con permiso de Lectura Extendida, o con acceso al sistema de archivos master
Vulnerabilidad en Rockwell Automation Allen-Bradley PowerMonitor 1000 (CVE-2018-19615)
Gravedad:
Medium Medium
Fecha publicación : 12/26/2018
Última modificación:
05/16/2022
Descripción:
Rockwell Automation Allen-Bradley PowerMonitor 1000 todas las versiones. Un atacante remoto podrÃa inyectar código arbitrario en el navegador web de un usuario objetivo para obtener acceso al dispositivo afectado