Home / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

CVE-2020-7558
Gravedad:
Medium Medium
Fecha publicación : 11/19/2020
Última modificación:
02/01/2021
Descripción:
Se presenta una vulnerabilidad de Escritura Fuera de Límites CWE-787 en IGSS Definition (Def.exe) versión 14.0.0.20247 que podría causar una Ejecución de Código Remota cuando se importa un archivo CGF (Configuration Group File) malicioso en IGSS Definition
Vulnerabilidad en la importación de un archivo CGF (Configuration Group File) en IGSS Definition (Def.exe) (CVE-2020-7557)
Gravedad:
Medium Medium
Fecha publicación : 11/19/2020
Última modificación:
02/01/2021
Descripción:
Se presenta una vulnerabilidad de Lectura Fuera de Límites CWE-125 en IGSS Definition (Def.exe) versión 14.0.0.20247 que podría causar una Ejecución de Código Remota cuando se importa un archivo CGF (Configuration Group File) malicioso en IGSS Definition
Vulnerabilidad en la importación de un archivo CGF (Configuration Group File) en IGSS Definition (Def.exe) (CVE-2020-7556)
Gravedad:
Medium Medium
Fecha publicación : 11/19/2020
Última modificación:
02/01/2021
Descripción:
Se presenta una vulnerabilidad de Escritura Fuera de Límites CWE-787 en IGSS Definition (Def.exe) versión 14.0.0.20247 que podría causar una Ejecución de Código Remota cuando se importa un archivo CGF (Configuration Group File) malicioso en IGSS Definition
Vulnerabilidad en la importación de un archivo CGF (Configuration Group File) en IGSS Definition (Def.exe) (CVE-2020-7555)
Gravedad:
Medium Medium
Fecha publicación : 11/19/2020
Última modificación:
01/29/2021
Descripción:
Se presenta una vulnerabilidad de Escritura Fuera de Límites CWE-787 en IGSS Definition (Def.exe) versión 14.0.0.20247 que podría causar una Ejecución de Código Remota cuando se importa un archivo CGF (Configuration Group File) malicioso en IGSS Definition
Vulnerabilidad en la importación de un archivo CGF (Configuration Group File) en IGSS Definition (Def.exe) (CVE-2020-7554)
Gravedad:
Medium Medium
Fecha publicación : 11/19/2020
Última modificación:
02/01/2021
Descripción:
Se presenta una vulnerabilidad de Restricción Inapropiada de Operaciones dentro de los Límites de un Búfer de Memoria CWE-119 en IGSS Definition (Def.exe) versión 14.0.0.20247 que podría causar una Ejecución de Código Remota cuando se importa un archivo CGF (Configuration Group File) malicioso en IGSS Definition
Vulnerabilidad en la importación de un archivo CGF (Configuration Group File) en IGSS Definition (Def.exe) (CVE-2020-7553)
Gravedad:
Medium Medium
Fecha publicación : 11/19/2020
Última modificación:
03/15/2021
Descripción:
Se presenta una vulnerabilidad de Escritura Fuera de Límites CWE-787 en IGSS Definition (Def.exe) versión 14.0.0.20247 que podría causar una Ejecución de Código Remota cuando se importa un archivo CGF (Configuration Group File) malicioso en IGSS Definition
Vulnerabilidad en la importación de un archivo CGF (Configuration Group File) en IGSS Definition (Def.exe) (CVE-2020-7550)
Gravedad:
Medium Medium
Fecha publicación : 11/19/2020
Última modificación:
02/01/2021
Descripción:
Se presenta una vulnerabilidad de Restricción Inapropiada de Operaciones dentro de los Límites de un Búfer de Memoria CWE-119 en IGSS Definition (Def.exe) versión 14.0.0.20247 y anteriores que podría causar una Ejecución de Código Remota cuando se importa un archivo CGF (Configuration Group File) malicioso a IGSS Definición
Vulnerabilidad en la función member contribution en YzmCMS (CVE-2020-22394)
Gravedad:
Medium Medium
Fecha publicación : 11/19/2020
Última modificación:
11/24/2020
Descripción:
En YzmCMS versión v5.5, la función member contribution en el editor contiene una vulnerabilidad de tipo Cross-site Scripting (XSS)
Vulnerabilidad en certificados del servidor para unas conexiones salientes en Nextcloud Social (CVE-2020-8279)
Gravedad:
Medium Medium
Fecha publicación : 11/18/2020
Última modificación:
11/25/2020
Descripción:
Una falta de comprobación de unos certificados del servidor para unas conexiones salientes en Nextcloud Social versiones anteriores a 0.4.0, permitió un ataque de tipo man-in-the-middle
Vulnerabilidad en un enlace en la interfaz de usuario web de Cisco IoT Field Network Director (FND) (CVE-2020-26081)
Gravedad:
Medium Medium
Fecha publicación : 11/18/2020
Última modificación:
11/25/2020
Descripción:
Múltiples vulnerabilidades en la interfaz de usuario web de Cisco IoT Field Network Director (FND), podrían permitir a un atacante remoto no autenticado llevar a cabo ataques de tipo cross-site scripting (XSS) contra usuarios en un sistema afectado. Las vulnerabilidades son debido a una comprobación insuficiente de la entrada suministrada por el usuario que es procesada por la interfaz de usuario web. Un atacante podría explotar estas vulnerabilidades persuadiendo a un usuario para que haga clic en un enlace creado. Una explotación con éxito podría permitir al atacante ejecutar código de secuencia de comandos arbitrario en el contexto de la interfaz o acceder a información confidencial basada en navegador en un sistema afectado
Vulnerabilidad en una interfaz de programación de aplicaciones (API) de Cisco Webex Meetings (CVE-2020-27126)
Gravedad:
Medium Medium
Fecha publicación : 11/18/2020
Última modificación:
11/25/2020
Descripción:
Una vulnerabilidad en una API de Cisco Webex Meetings, podría permitir a un atacante remoto no autenticado conducir ataques de tipo cross-site scripting. La vulnerabilidad es debido a una comprobación inapropiada de la entrada suministrada por el usuario a una interfaz de programación de aplicaciones (API) dentro de Cisco Webex Meetings. Un atacante podría explotar esta vulnerabilidad convenciendo a un usuario objetivo de que siga un vínculo diseñado para enviar información maliciosa a la API utilizada por Cisco Webex Meetings. Una explotación con éxito podría permitir al atacante conducir ataques de tipo cross-site scripting y potencialmente conseguir acceso a información confidencial basada en navegador del sistema de un usuario apuntado
Vulnerabilidad en el control de acceso en la funcionalidad user management de Cisco IoT Field Network Director (FND) (CVE-2020-26080)
Gravedad:
Medium Medium
Fecha publicación : 11/18/2020
Última modificación:
11/25/2020
Descripción:
Una vulnerabilidad en la funcionalidad user management de Cisco IoT Field Network Director (FND), podría permitir a un atacante remoto autenticado administrar la información de los usuarios en diferentes dominios en un sistema afectado. La vulnerabilidad es debido a un control de acceso inapropiado al dominio. Un atacante podría explotar esta vulnerabilidad manipulando cargas útiles JSON para apuntar a diferentes dominios en un sistema afectado. Una explotación con éxito podría permitir al atacante administrar la información del usuario para usuarios en diferentes dominios en un sistema afectado
Vulnerabilidad en las credenciales de usuario en la interfaz de usuario web de Cisco IoT Field Network Director (FND) (CVE-2020-26079)
Gravedad:
Medium Medium
Fecha publicación : 11/18/2020
Última modificación:
11/25/2020
Descripción:
Una vulnerabilidad en la interfaz de usuario web de Cisco IoT Field Network Director (FND), podría permitir a un atacante remoto autenticado obtener el hash de contraseñas de los usuarios en un dispositivo afectado. La vulnerabilidad es debido a una protección insuficiente de las credenciales de usuario. Un atacante podría explotar esta vulnerabilidad iniciando sesión como usuario administrativo y diseñando una llamada para obtener información del usuario. Una explotación con éxito podría permitir al atacante obtener el hash de contraseñas de los usuarios en un dispositivo afectado
Vulnerabilidad en el sistema de archivos de Cisco IoT Field Network Director (FND) (CVE-2020-26078)
Gravedad:
Medium Medium
Fecha publicación : 11/18/2020
Última modificación:
11/25/2020
Descripción:
Una vulnerabilidad en el sistema de archivos de Cisco IoT Field Network Director (FND), podría permitir a un atacante remoto autenticado sobrescribir archivos en un sistema afectado. La vulnerabilidad es debido a una protección insuficiente del sistema de archivos. Un atacante podría explotar esta vulnerabilidad al diseñar peticiones de API y enviándolas a un sistema afectado. Una explotación con éxito podría permitir al atacante sobrescribir archivos en un sistema afectado
Vulnerabilidad en el envío de una petición a la API en la funcionalidad access control de Cisco IoT Field Network Director (FND) (CVE-2020-26077)
Gravedad:
Medium Medium
Fecha publicación : 11/18/2020
Última modificación:
11/25/2020
Descripción:
Una vulnerabilidad en la funcionalidad access control de Cisco IoT Field Network Director (FND), podría permitir a un atacante remoto autenticado visualizar listas de usuarios de diferentes dominios configurados en un sistema afectado. La vulnerabilidad es debido a un control de acceso inapropiado. Un atacante podría explotar esta vulnerabilidad mediante el envío de una petición a la API que modifique el dominio de una lista de usuarios solicitada en un sistema afectado. Una explotación con éxito podría permitir al atacante visualizar listas de usuarios de diferentes dominios en el sistema afectado
Vulnerabilidad en las peticiones de la API REST de Cisco IoT Field Network Director (FND) (CVE-2020-26075)
Gravedad:
HighHigh
Fecha publicación : 11/18/2020
Última modificación:
11/25/2020
Descripción:
Una vulnerabilidad en la API REST de Cisco IoT Field Network Director (FND), podría permitir a un atacante remoto autenticado obtener acceso a la base de datos del back-end de un dispositivo afectado. La vulnerabilidad es debido a una validación de entrada insuficiente de las peticiones de la API REST que se realizan a un dispositivo afectado. Un atacante podría explotar esta vulnerabilidad al diseñar peticiones de la API maliciosas para el dispositivo afectado. Una explotación con éxito podría permitirle al atacante obtener acceso a la base de datos del back-end del dispositivo afectado
Vulnerabilidad en el envío peticiones de la API SOAP de Cisco IoT Field Network Director (FND) (CVE-2020-26072)
Gravedad:
Medium Medium
Fecha publicación : 11/18/2020
Última modificación:
11/25/2020
Descripción:
Una vulnerabilidad en la API SOAP de Cisco IoT Field Network Director (FND), podría permitir a un atacante remoto autenticado acceder y modificar información en dispositivos que pertenecen a un dominio diferente. La vulnerabilidad es debido a una autorización insuficiente en la API SOAP. Un atacante podría explotar esta vulnerabilidad mediante el envío peticiones de la API SOAP a los dispositivos afectados para dispositivos que están fuera de su dominio autorizado. Una explotación con éxito podría permitir al atacante acceder y modificar información en dispositivos que pertenecen a un dominio diferente
Vulnerabilidad en el servicio xAPI del software Cisco Telepresence CE y el software Cisco RoomOS (CVE-2020-26068)
Gravedad:
Medium Medium
Fecha publicación : 11/18/2020
Última modificación:
11/25/2020
Descripción:
Una vulnerabilidad en el servicio xAPI del software Cisco Telepresence CE y el software Cisco RoomOS, podría permitir a un atacante remoto autenticado generar un token de acceso para un dispositivo afectado. La vulnerabilidad es debido a una autorización de acceso insuficiente. Un atacante podría explotar esta vulnerabilidad mediante el servicio xAPI para generar un token específico. Una explotación con éxito podría permitir al atacante usar el token generado para habilitar funciones experimentales en el dispositivo que no deberían estar disponibles para los usuarios
Vulnerabilidad en los campos "Package Name" y "Description" en SourceCodester Gym Management System (CVE-2020-28129)
Gravedad:
Medium Medium
Fecha publicación : 11/17/2020
Última modificación:
11/25/2020
Descripción:
Una vulnerabilidad de tipo Cross-site scripting (XSS) almacenado en SourceCodester Gym Management System versión 1.0, permite a usuarios inyectar y almacenar código JavaScript arbitrario en index.php?page=packages por medio de los campos vulnerables "Package Name" y "Description"
Vulnerabilidad en MD5 para las contraseñas en Untangle Firewall NG (CVE-2020-17494)
Gravedad:
Medium Medium
Fecha publicación : 11/12/2020
Última modificación:
07/21/2021
Descripción:
Untangle Firewall NG versiones anteriores a 16.0, utiliza MD5 para las contraseñas
Vulnerabilidad en la configuración Configuration Change Detection BIOS en algunos modelos Lenovo Desktop (CVE-2020-8352)
Gravedad:
LowLow
Fecha publicación : 11/11/2020
Última modificación:
11/25/2020
Descripción:
En algunos modelos Lenovo Desktop, la configuración Configuration Change Detection BIOS no pudo detectar cambios de configuración SATA
Vulnerabilidad en el archivo panel/modules/plugins/ en Subrion CMS (CVE-2019-7357)
Gravedad:
Medium Medium
Fecha publicación : 11/10/2020
Última modificación:
11/24/2020
Descripción:
Subrion CMS versión 4.2.1, presenta una vulnerabilidad de tipo CSRF en el archivo panel/modules/plugins/. El atacante puede activar y desactivar los plugins remotamente

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

Vulnerabilidad en la importación de un archivo CGF (Configuration Group File) en IGSS Definition (Def.exe) (CVE-2020-7552)
Gravedad:
Medium Medium
Fecha publicación : 11/19/2020
Última modificación:
04/19/2021
Descripción:
Se presenta una vulnerabilidad de Escritura Fuera de Límites CWE-787 en IGSS Definition (Def.exe) versión 14.0.0.20247 que podría causar una Ejecución de Código Remota cuando se importa un archivo CGF (Configuration Group File) malicioso en IGSS Definition
Vulnerabilidad en la importación de un archivo CGF (Configuration Group File) en IGSS Definition (Def.exe) (CVE-2020-7551)
Gravedad:
Medium Medium
Fecha publicación : 11/19/2020
Última modificación:
04/19/2021
Descripción:
Se presenta una vulnerabilidad de Escritura Fuera de Límites CWE-787 en IGSS Definition (Def.exe) versión 14.0.0.20247 que podría causar una Ejecución de Código Remota cuando se importa un archivo CGF (Configuration Group File) malicioso en IGSS Definition
Vulnerabilidad en un mensaje de correo electrónico HTML en REDDOXX MailDepot (CVE-2020-26554)
Gravedad:
Medium Medium
Fecha publicación : 11/18/2020
Última modificación:
12/02/2020
Descripción:
REDDOXX MailDepot versión 2033 (también se conoce como 2.3.3022) permite un ataque de tipo XSS por medio de un mensaje de correo electrónico HTML entrante