Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en los valores de cookies cifrados en el código de usuario en OctoberCMS (CVE-2020-15128)
Gravedad:
LowLow
Fecha publicación : 07/31/2020
Última modificación:
08/03/2020
Descripción:
En OctoberCMS versiones anteriores a 1.0.468, los valores de cookies cifrados no estaban enlazados al nombre de la cookie a la que pertenecía el valor. Esto significaba que determinadas clases de ataques que toman ventaja a otras vulnerabilidades teóricas en el código de usuario (nada explotable en el proyecto central en sí) tenían una mayor oportunidad de éxito. Específicamente, si su uso expuso una forma para que los usuarios proporcionen información de usuario sin filtrar y que se la devuelva como una cookie cifrada (por ejemplo, almacenando una consulta de búsqueda proporcionada por el usuario en una cookie), podrían usar la cookie generada en lugar de otras cookies estrictamente controladas; o si su uso expuso la versión de texto plano de una cookie cifrada en algún momento al usuario, teóricamente podrían proporcionarle contenido cifrado de su aplicación como cookie cifrada y forzar al framework a descifrarla. El problema ha sido corregido en el build 468 (versión v1.0.468)
Vulnerabilidad en secuencias ../ de salto de directorio en peticiones a /Administration/Logs/ en la máquina del servidor en tgstation-server (CVE-2020-16136)
Gravedad:
Medium Medium
Fecha publicación : 07/31/2020
Última modificación:
08/03/2020
Descripción:
En tgstation-server versiones 4.4.0 y 4.4.1, un usuario autenticado con permiso para descargar registros puede descargar cualquier archivo en la máquina del servidor (accesible por el propietario del proceso del servidor) por medio de secuencias ../ de salto de directorio en peticiones a /Administration/Logs/. Sin embargo, el atacante no puede enumerar archivos
Vulnerabilidad en un módulo que no maneja mensajes mal diseñados en los teléfonos inteligentes HUAWEI P30 (CVE-2020-9249)
Gravedad:
LowLow
Fecha publicación : 07/31/2020
Última modificación:
08/03/2020
Descripción:
Los teléfonos inteligentes HUAWEI P30 con versiones anteriores a 10.1.0.160(C00E160R2P11), presentan una vulnerabilidad de denegación de servicio. Un módulo no maneja mensajes mal diseñados y conlleva a una pérdida de memoria. Los atacantes pueden explotar esta vulnerabilidad para realizar una denegación de servicio del dispositivo. Las versiones del producto afectadas incluyen: versiones de HUAWEI P30 Versiones anteriores a 10.1.0.160(C00E160R2P11)

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: