Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la extensión dlf para TYPO3 (CVE-2020-16095)
Gravedad:
Medium Medium
Fecha publicación : 07/29/2020
Última modificación:
07/30/2020
Descripción:
La extensión dlf (también se conoce como Kitodo.Presentation) versiones anteriores a 3.1.2 para TYPO3, permite un ataque de tipo XSS
Vulnerabilidad en la Interfaz de Usuario Web en IBM Planning Analytics Local (CVE-2020-4645)
Gravedad:
LowLow
Fecha publicación : 07/29/2020
Última modificación:
07/30/2020
Descripción:
IBM Planning Analytics Local versiones 2.0.0 hasta 2.0.9.1, es vulnerable a un ataque de tipo cross-site scripting. Esta vulnerabilidad permite a usuarios insertar código JavaScript arbitrario en la Interfaz de Usuario Web, alterando así la funcionalidad prevista conllevando potencialmente a una divulgación de credenciales dentro de una sesión confiable. IBM X-Force ID: 185717
Vulnerabilidad en un sitio web en IBM Planning Analytics Local (CVE-2020-4644)
Gravedad:
Medium Medium
Fecha publicación : 07/29/2020
Última modificación:
07/30/2020
Descripción:
IBM Planning Analytics Local versiones 2.0.0 hasta 2.0.9.1, podría permitir a un atacante remoto secuestrar la acción de clic de la víctima. Al persuadir a una víctima para que visite un sitio web malicioso, un atacante remoto podría explotar esta vulnerabilidad para secuestrar las acciones de clic de la víctima y posiblemente iniciar nuevos ataques contra la víctima. IBM X-Force ID: 185716
Vulnerabilidad en requerimiento de contraseñas seguras por defecto en IBM Tivoli Key Lifecycle Manager (CVE-2020-4574)
Gravedad:
Medium Medium
Fecha publicación : 07/29/2020
Última modificación:
07/30/2020
Descripción:
IBM Tivoli Key Lifecycle Manager, no requiere que los usuarios deban tener contraseñas seguras por defecto, lo que facilita a atacantes comprometer cuentas de usuario. IBM X-Force ID: 184181
Vulnerabilidad en una respuesta a peticiones HTTP en IBM Tivoli Key Lifecycle Manager (CVE-2020-4573)
Gravedad:
Medium Medium
Fecha publicación : 07/29/2020
Última modificación:
07/29/2020
Descripción:
IBM Tivoli Key Lifecycle Manager versiones 3.0.1 y 4.0, podría revelar información confidencial debido a una respuesta a peticiones HTTP no autenticadas. IBM X-Force ID: 184180
Vulnerabilidad en un mensaje de error técnico en el navegador en IBM Tivoli Key Lifecycle Manager (CVE-2020-4572)
Gravedad:
Medium Medium
Fecha publicación : 07/29/2020
Última modificación:
07/29/2020
Descripción:
IBM Tivoli Key Lifecycle Manager versiones 3.0.1 y 4.0, podría permitir a un atacante remoto obtener información confidencial cuando un mensaje de error técnico detallado es devuelto en el navegador. Esta información podría ser usada en nuevos ataques contra el sistema. IBM X-Force ID: 184179
Vulnerabilidad en un mecanismo de protección en IBM Tivoli Key Lifecycle Manager (CVE-2020-4569)
Gravedad:
Medium Medium
Fecha publicación : 07/29/2020
Última modificación:
07/29/2020
Descripción:
IBM Tivoli Key Lifecycle Manager versiones 3.0.1 y 4.0, usa un mecanismo de protección que se basa en la existencia o valores de una entrada, pero la entrada puede ser modificada por un actor no confiable de una manera que omite el mecanismo de protección. IBM X-Force ID: 184158
Vulnerabilidad en una configuración de bloqueo de cuenta en IBM Tivoli Key Lifecycle Manager (CVE-2020-4567)
Gravedad:
Medium Medium
Fecha publicación : 07/29/2020
Última modificación:
07/29/2020
Descripción:
IBM Tivoli Key Lifecycle Manager versiones 3.0.1 y 4.0, usa una configuración de bloqueo de cuenta inadecuada que podría permitir a un atacante remoto obtener credenciales de la cuenta por fuerza bruta. IBM X-Force ID: 184156
Vulnerabilidad en procesamiento de datos XML en IBM Maximo Asset Management (CVE-2020-4463)
Gravedad:
Medium Medium
Fecha publicación : 07/29/2020
Última modificación:
07/30/2020
Descripción:
IBM Maximo Asset Management versiones 7.6.0.1 y 7.6.0.2, es vulnerable a un ataque de Inyección de XML External Entity (XXE) al procesar datos XML. Un atacante remoto podría explotar esta vulnerabilidad para exponer información confidencial o consumir recursos de memoria. IBM X-Force ID: 181484
Vulnerabilidad en carga de archivos en OpenClinic GA (CVE-2020-14488)
Gravedad:
HighHigh
Fecha publicación : 07/29/2020
Última modificación:
07/29/2020
Descripción:
OpenClinic GA versiones 5.09.02 y 5.89.05b, no comprueba apropiadamente unos archivos cargados, lo que puede permitir a un usuario poco privilegiado cargar y ejecutar archivos arbitrarios en el sistema
Vulnerabilidad en una cuenta de usuario oculta predeterminada en OpenClinic GA (CVE-2020-14487)
Gravedad:
HighHigh
Fecha publicación : 07/29/2020
Última modificación:
07/29/2020
Descripción:
OpenClinic GA versión 5.09.02, contiene una cuenta de usuario predeterminada oculta a la que se puede acceder si un administrador no ha desactivado expresamente esta cuenta, lo que puede permitir a un atacante iniciar sesión y ejecutar comandos arbitrarios
Vulnerabilidad en redireccionamiento de un fallo de permiso en OpenClinic GA (CVE-2020-14486)
Gravedad:
Medium Medium
Fecha publicación : 07/29/2020
Última modificación:
07/29/2020
Descripción:
Un atacante puede omitir las comprobaciones de autorización y permiso en OpenClinic GA versiones 5.09.02 y 5.89.05b, ignorando el redireccionamiento de un fallo de permiso, lo que puede permitir una ejecución no autorizada de comandos
Vulnerabilidad en la variable _data en el paquete mock2easy (CVE-2020-7697)
Gravedad:
HighHigh
Fecha publicación : 07/29/2020
Última modificación:
07/30/2020
Descripción:
Esto afecta a todas las versiones del paquete mock2easy. Un usuario malicioso podría inyectar comandos por medio de la variable _data: Área Afectada require('../server/getJsonByCurl')(mock2easy, function (error, stdout) { if (error) { return res.json(500, error); } res.json(JSON.parse(stdout)); }, '', _data.interfaceUrl, query, _data.cookie,_data.interfaceType)
Vulnerabilidad en la sintaxis SQL para escribir archivos en OpenClinic GA (CVE-2020-14493)
Gravedad:
Medium Medium
Fecha publicación : 07/29/2020
Última modificación:
07/30/2020
Descripción:
Un usuario poco privilegiado puede usar la sintaxis SQL para escribir archivos arbitrarios en el servidor OpenClinic GA versiones 5.09.02 y 5.89.05b, lo que puede permitir una ejecución de comandos arbitrarios
Vulnerabilidad en una entrada controlable por usuario en OpenClinic GA (CVE-2020-14492)
Gravedad:
Medium Medium
Fecha publicación : 07/29/2020
Última modificación:
07/30/2020
Descripción:
OpenClinic GA versiones 5.09.02 y 5.89.05b, no neutraliza apropiadamente una entrada controlable por usuario, lo que puede permitir una ejecución de código malicioso dentro del navegador del usuario
Vulnerabilidad en archivos locales en OpenClinic GA (CVE-2020-14490)
Gravedad:
Medium Medium
Fecha publicación : 07/29/2020
Última modificación:
07/30/2020
Descripción:
OpenClinic GA versiones 5.09.02 y 5.89.05b, incluye archivos locales arbitrarios especificados dentro de su parámetro y ejecuta algunos archivos, lo que puede permitir una divulgación de archivos confidenciales o una ejecución de archivos maliciosos cargados
Vulnerabilidad en almacenamiento de contraseñas en OpenClinic GA (CVE-2020-14489)
Gravedad:
Medium Medium
Fecha publicación : 07/29/2020
Última modificación:
07/30/2020
Descripción:
OpenClinic GA versiones 5.09.02 y 5.89.05b, almacena contraseñas con una complejidad de hash inadecuada, lo que puede permitir a un atacante recuperar contraseñas usando técnicas conocidas de descifrado de contraseñas
Vulnerabilidad en Magento (CVE-2020-9692)
Gravedad:
HighHigh
Fecha publicación : 07/29/2020
Última modificación:
07/30/2020
Descripción:
Magento versiones 2.3.5-p1 y anteriores, y versiones 2.3.5-p1 y anteriores presentan una vulnerabilidad de omisión de mitigación de seguridad. Una explotación con éxito podría conllevar a una ejecución de código arbitrario
Vulnerabilidad en Magento (CVE-2020-9691)
Gravedad:
HighHigh
Fecha publicación : 07/29/2020
Última modificación:
07/29/2020
Descripción:
Magento versiones 2.3.5-p1 y anteriores, y versiones 2.3.5-p1 y anteriores, presentan una vulnerabilidad de tipo cross-site scripting basada en dom. Una explotación con éxito podría conllevar a una ejecución de código arbitrario
Vulnerabilidad en Magento (CVE-2020-9690)
Gravedad:
LowLow
Fecha publicación : 07/29/2020
Última modificación:
07/30/2020
Descripción:
Magento versiones 2.3.5-p1 y anteriores, y versiones 2.3.5-p1 y anteriores, presentan una vulnerabilidad de discrepancia de sincronización observable. Una explotación con éxito podría conllevar a una omisión de comprobación de firma
Vulnerabilidad en Magento (CVE-2020-9689)
Gravedad:
HighHigh
Fecha publicación : 07/29/2020
Última modificación:
07/30/2020
Descripción:
Magento versiones 2.3.5-p1 y anteriores, y versiones 2.3.5-p1 y anteriores, presentan una vulnerabilidad de salto de ruta. Una explotación con éxito podría conllevar a una ejecución de código arbitrario

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en el protocolo HTTP para el analizador httptools en la implementación del paquete Uvicorn (CVE-2020-7695)
Gravedad:
Medium Medium
Fecha publicación : 07/27/2020
Última modificación:
07/29/2020
Descripción:
Uvicornio versiones anteriores a 0.11.7 es vulnerable a la división de la respuesta HTTP.Las secuencias CRLF no escapaban en el valor de los encabezados HTTP. Los atacantes pueden explotar esto para agregar encabezados arbitrarios en las respuestas HTTP, o inclusive devolver un cuerpo de respuesta arbitrario, siempre que es usada una entrada diseñada para construir encabezados HTTP
Vulnerabilidad en el archivo jcore/portal/ajaxPortal.jsp en el parámetro types en Jalios JCMS (CVE-2020-15497)
Gravedad:
Medium Medium
Fecha publicación : 07/17/2020
Última modificación:
07/29/2020
Descripción:
**EN DISPUTA** El archivo jcore/portal/ajaxPortal.jsp en Jalios JCMS versión 10.0.2 build-20200224104759, permite un ataque de tipo XSS por medio del parámetro types Nota: Se afirma que esta vulnerabilidad no está presente en la instalación estándar de Jalios JCMS
Vulnerabilidad en la biblioteca libvncclient/rfbproto.c en punteros uint32_t en LibVNCServer (CVE-2020-14399)
Gravedad:
Medium Medium
Fecha publicación : 06/17/2020
Última modificación:
08/28/2020
Descripción:
**EN DISPUTA** Se detectó un problema en LibVNCServer versiones anteriores a 0.9.13. Los datos Byte-aligned son accedidos por medio de punteros uint32_t en la biblioteca libvncclient/rfbproto.c. NOTA: se informa que "no se ha cruzado ningún límite de confianza".
Vulnerabilidad en intento de asignación de memoria excesiva en la función read_long_names en elf_begin.c en libelf en la versión 0.174 de elfutils (CVE-2019-7148)
Gravedad:
Medium Medium
Fecha publicación : 01/28/2019
Última modificación:
08/24/2020
Descripción:
Se ha descubierto un intento de asignación de memoria excesiva en la función read_long_names en elf_begin.c en libelf en la versión 0.174 de elfutils. Los atacantes remotos podrían aprovechar esta vulnerabilidad para provocar una denegación de servicio (DoS) mediante entradas elf manipuladas, lo que conduce a una excepción fuera de memoria. NOTA: Los mantenedores creen que este no es un fallo real, sino un "aviso provocado por ASAN debido a que la asignación es grande. Al establecer SAN_OPTIONS=allocator_may_return_null=1 y ejecutar el reproductor, no ocurre nada"