Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en Pulse Connect Secure (PCS) (CVE-2016-4792)
Severidad: MEDIA
Fecha de publicación: 26/05/2016
Fecha de última actualización: 27/02/2024
Pulse Connect Secure (PCS) 8.2 en versiones anteriores a 8.2r1 permite a atacantes remotos revelar señales en páginas a través de vectores no especificados.
-
Vulnerabilidad en Pulse Connect Secure (PCS) (CVE-2016-4786)
Severidad: ALTA
Fecha de publicación: 26/05/2016
Fecha de última actualización: 27/02/2024
Pulse Connect Secure (PCS) 8.2 en versiones anteriores a 8.2r1, 8.1 en versiones anteriores a 8.1r3, 8.0 en versiones anteriores a 8.0r11 y 7.4 en versiones anteriores a 7.4r13.4 permite a atacantes remotos provocar una denegación de servicio (consumo de CPU) a través de vectores no especificados.
-
Vulnerabilidad en Pulse Connect Secure (PCS) (CVE-2016-4787)
Severidad: MEDIA
Fecha de publicación: 26/05/2016
Fecha de última actualización: 27/02/2024
Pulse Connect Secure (PCS) 8.2 en versiones anteriores a 8.2r1, 8.1 en versiones anteriores a 8.1r2, 8.0 en versiones anteriores a 8.0r10 y 7.4 en versiones anteriores a 7.4r13.4 permite a atacantes remotos leer archivos de autenticación sensibles del sistema en un directorio no especificado a través de vectores desconocidos.
-
Vulnerabilidad en Pulse Connect Secure (PCS) (CVE-2016-4788)
Severidad: MEDIA
Fecha de publicación: 26/05/2016
Fecha de última actualización: 27/02/2024
Pulse Connect Secure (PCS) 8.2 en versiones anteriores a 8.2r1, 8.1 en versiones anteriores a 8.1r2, 8.0 en versiones anteriores a 8.0r10 y 7.4 en versiones anteriores a 7.4r13.4 permite a atacantes remotos leer un archivo de sistema no especificado a través de vectores desconocidos.
-
Vulnerabilidad en la sección de configuración del sistema en la interaz de usuario administrativo en Pulse Connect Secure (PCS) (CVE-2016-4789)
Severidad: MEDIA
Fecha de publicación: 26/05/2016
Fecha de última actualización: 27/02/2024
Vulnerabilidad de XSS en la sección de configuración del sistema en la interaz de usuario administrativo en Pulse Connect Secure (PCS) 8.2 en versiones anteriores a 8.2r1, 8.1 en versiones anteriores a 8.1r2, 8.0 en versiones anteriores a 8.0r9 y 7.4 en versiones anteriores a 7.4r13.4 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados.
-
Vulnerabilidad en la interfaz de usuario administrativo en Pulse Connect Secure (PCS) (CVE-2016-4790)
Severidad: BAJA
Fecha de publicación: 26/05/2016
Fecha de última actualización: 27/02/2024
Vulnerabilidad de XSS en la interfaz de usuario administrativo en Pulse Connect Secure (PCS) 8.2 en versiones anteriores a 8.2r1, 8.1 en versiones anteriores a 8.1r2, 8.0 en versiones anteriores a 8.0r9 y 7.4 en versiones anteriores a 7.4r13.4 permite a atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de vectores no especificados.
-
Vulnerabilidad en la interfaz de usuario administrativo en Pulse Connect Secure (PCS) (CVE-2016-4791)
Severidad: MEDIA
Fecha de publicación: 26/05/2016
Fecha de última actualización: 27/02/2024
La interfaz de usuario administrativo en Pulse Connect Secure (PCS) 8.2 en versiones anteriores a 8.2r1, 8.1 en versiones anteriores a 8.1r2, 8.0 en versiones anteriores a 8.0r9 y 7.4 en versiones anteriores a 7.4r13.4 permite a administradores remotos enumerar archivos, leer archivos arbitrarios y llevar a cabo ataques de falsificación de solicitud del lado del servidor (SSRF) a través de vectores no especificados.
-
Vulnerabilidad en Pulse Secure Pulse Connect Secure (CVE-2018-20808)
Severidad: MEDIA
Fecha de publicación: 28/06/2019
Fecha de última actualización: 27/02/2024
Se ha encontrado un problema de Cross-Site Scripting (XSS) con rd.cgi en Pulse Secure Pulse Connect Secure versión 8.3RX anteriores a la 8.3R3 debido al saneamiento inadecuado del encabezado. Esto no es aplicable a la versión 8.1RX.
-
Vulnerabilidad en Pulse Secure Pulse Connect Secure (CVE-2018-20813)
Severidad: ALTA
Fecha de publicación: 28/06/2019
Fecha de última actualización: 27/02/2024
Se ha encontrado un problema de validación de entradas con login_meeting.cgi en Pulse Secure Pulse Connect Secure versión 8.3RX anteriores a la 8.3R2.
-
Vulnerabilidad en Pulse Secure Pulse Connect Secure (CVE-2018-20811)
Severidad: MEDIA
Fecha de publicación: 28/06/2019
Fecha de última actualización: 27/02/2024
Se ha encontrado un problema de servicio RPC oculto con Pulse Secure Pulse Connect Secure versión 8.3RX anteriores a la versión 8.3R2 y versión 8.1RX anteriores a la versión 8.1R12.
-
Vulnerabilidad en Clúster durante la sincronización (CVE-2018-20810)
Severidad: ALTA
Fecha de publicación: 28/06/2019
Fecha de última actualización: 27/02/2024
Los datos de sesión entre nodos del clúster durante la sincronización del clúster no están cifrados correctamente en Pulse Secure Pulse Connect Secure (PCS) 8.3RX antes de 8.3R2 y Pulse Policy Secure (PPS) 5.4RX antes de 5.4R2. Esto no es aplicable a PCS 8.1RX, PPS 5.2RX o dispositivos independientes.
-
Vulnerabilidad en Pulse Secure Pulse Connect Secure (PCS) (CVE-2018-20809)
Severidad: MEDIA
Fecha de publicación: 28/06/2019
Fecha de última actualización: 27/02/2024
Un mensaje manipulado puede provocar que el servidor web se bloquee con Pulse Secure Pulse Connect Secure (PCS) versión 8.3RX en versiones anteriores a 8.3R5 y Pulse Policy Secure versión 5.4RX versiones anteriores a 5.4R5. Esto no es aplicable a PCS versión 8.1RX.
-
Vulnerabilidad en Pulse Secure Pulse Connect Secure (PCS) (CVE-2018-20814)
Severidad: MEDIA
Fecha de publicación: 28/06/2019
Fecha de última actualización: 27/02/2024
Se ha encontrado un fallo de Cross-Site Scripting (XSS) con Psaldownload.cgi en Pulse Secure Pulse Connect Secure (PCS) versión 8.3R2 anteriores a la 8.3R2 y Pulse Policy Secure (PPS) versión 5.4RX anteriores a la versión 5.4R2. Esto no es aplicable a PC versión 8.1RX o PPS 5.2RX.
-
Vulnerabilidad en Pulse Secure Pulse Connect Secure (PCS) (CVE-2018-20807)
Severidad: MEDIA
Fecha de publicación: 28/06/2019
Fecha de última actualización: 27/02/2024
Se ha encontrado un problema de Cross-Site Scripting (XSS) en welcome.cgi en Pulse Secure Pulse Connect Secure (PCS) en la versión 8.1.x anteriores a 8.1R12, versión 8.2.x anteriores a 8.2R9, y 8.3.x anteriores a 8.3R3 debido a que uno de los parámetros de la URL no se sanea correctamente.
-
Vulnerabilidad en productos Pulse (CVE-2017-11455)
Severidad: MEDIA
Fecha de publicación: 29/08/2017
Fecha de última actualización: 27/02/2024
diag.cgi en Pulse Connect Secure 8.2R1 en su versión 8.2R5, 8.1R1 en su versión 8.1R10 y Pulse Policy Secure 5.3R1 en su versión 5.3R5, 5.2R1 en su versión 5.2R8, y 5.1R1 en su versión 5.1R10 permite que atacantes remotos secuestren la autenticación de administradores para peticiones para poner en marcha tcpdump, relacionado con la falta de tokens anti-CSRF.
-
Vulnerabilidad en productos Pulse Secure Pulse Connect Secure y Pulse Policy Secure (CVE-2018-6320)
Severidad: ALTA
Fecha de publicación: 06/09/2018
Fecha de última actualización: 27/02/2024
Se ha descubierto una vulnerabilidad en login.cgi en Pulse Secure Pulse Connect Secure (PCS) en versiones 8.1RX anteriores a la 8.1R12 y versiones 8.3RX anteriores a la 8.3R2 y Pulse Policy Secure (PPS) en versiones 5.2RX anteriores a la 5.2R9 y versiones 5.4RX anteriores a la 5.4R2 cuando se confía en una cabecera Host HTTP(S) recibida del navegador sin validación.
-
Vulnerabilidad en Pulse Secure Pulse Connect Secure y Pulse Policy Secure (CVE-2018-14366)
Severidad: MEDIA
Fecha de publicación: 06/09/2018
Fecha de última actualización: 27/02/2024
download.cgi en Pulse Secure Pulse Connect Secure, en versiones 8.1RX anteriores a la 8.1R13 y versiones 8.3RX anteriores a la 8.3R4; y Pulse Policy Secure hasta versiones 5.2RX anteriores a la 5.2R10 y versiones 5.4RX anteriores a la 5.4R4 tienen una vulnerabilidad de redirección abierta.
-
Vulnerabilidad en Pulse (CVE-2019-11213)
Severidad: MEDIA
Fecha de publicación: 12/04/2019
Fecha de última actualización: 27/02/2024
En Pulse Secure Pulse Desktop Client y Network Connect, un atacante podría acceder a los tokens de sesión para responder y suplantar sesiones, y , como resultado, obtener acceso no autorizado como usuario final, un problema relacionado con el identificador CVE-2019-1573. (El endpoint tendría que estar ya comprometido para que la explotación tenga éxito.) Esto afecta a Pulse Desktop Client 5.x anterior a Secure Desktop 5.3R7 y a Pulse Desktop Client 9.x anterior a Secure Desktop 9.0R3. También afecta (para clientes Network Connect) a Pulse Connect Secure 8.1 anterior a 8.1R14, 8.3 anterior a 8.3R7, y 9.0 anterior a 9.0R3.
-
Vulnerabilidad en la URL usada por Citrix ICA en Pulse Connect Secure (CVE-2020-8217)
Severidad: BAJA
Fecha de publicación: 30/07/2020
Fecha de última actualización: 27/02/2024
Una vulnerabilidad de tipo cross site scripting (XSS) en Pulse Connect Secure versiones anteriores a 9.1R8, permitió a atacantes explotar en la URL usada por Citrix ICA
-
Vulnerabilidad en la Página PSAL en Pulse Connect Secure (CVE-2020-8204)
Severidad: MEDIA
Fecha de publicación: 30/07/2020
Fecha de última actualización: 27/02/2024
Se presenta una vulnerabilidad de tipo cross site scripting (XSS) en Pulse Connect Secure versiones anteriores a 9.1R5, en la Página PSAL
-
Vulnerabilidad en la web del administrador en Pulse Connect Secure (CVE-2020-8220)
Severidad: MEDIA
Fecha de publicación: 30/07/2020
Fecha de última actualización: 27/02/2024
Se presenta una vulnerabilidad denegación de servicio en Pulse Connect Secure versiones anteriores a 9.1R8, que permite a un atacante autenticado llevar a cabo una inyección de comandos por medio de la web del administrador que puede causar una DOS
-
Vulnerabilidad en la interfaz web del administrador en Pulse Connect Secure (CVE-2020-8221)
Severidad: MEDIA
Fecha de publicación: 30/07/2020
Fecha de última actualización: 27/02/2024
Se presenta una vulnerabilidad de salto de ruta en Pulse Connect Secure versiones anteriores a 9.1R8, que permite a un atacante autenticado leer archivos arbitrarios por medio de la interfaz web del administrador
-
Vulnerabilidad en Meeting en la interfaz web del administrador en Pulse Connect Secure (CVE-2020-8222)
Severidad: MEDIA
Fecha de publicación: 30/07/2020
Fecha de última actualización: 27/02/2024
Se presenta una vulnerabilidad de salto de ruta en Pulse Connect Secure versiones anteriores a 9.1R8, que permitió a un atacante autenticado por medio de la interfaz web del administrador llevar a cabo una vulnerabilidad de lectura de archivos arbitraria por medio de Meeting
-
Vulnerabilidad en la contraseña de un administrador en Pulse Connect Secure (CVE-2020-8219)
Severidad: MEDIA
Fecha de publicación: 30/07/2020
Fecha de última actualización: 27/02/2024
Se presenta una vulnerabilidad de comprobación de permisos insuficiente en Pulse Connect Secure versiones anteriores a 9.1R8, que permite a un atacante cambiar la contraseña de un administrador completa
-
Vulnerabilidad en el TOTP de Google en Pulse Connect Secure (CVE-2020-8206)
Severidad: MEDIA
Fecha de publicación: 30/07/2020
Fecha de última actualización: 27/02/2024
Se presenta una vulnerabilidad de autenticación inapropiada en Pulse Connect Secure versiones anteriores a 9.1RB, que permite a un atacante con credenciales primarias de los usuarios omitir el TOTP de Google
-
Vulnerabilidad en la carga de una plantilla en la interfaz de administración web en Pulse Connect Secure (CVE-2020-8243)
Severidad: MEDIA
Fecha de publicación: 30/09/2020
Fecha de última actualización: 27/02/2024
Una vulnerabilidad en la interfaz de administración web en Pulse Connect Secure versiones anteriores a 9.1R8.2, podría permitir a un atacante autenticado cargar una plantilla personalizada para llevar a cabo una ejecución de código arbitrario
-
Vulnerabilidad en un DTD en una petición XML en Pulse Connect Secure (PCS) y Pulse Policy Secure (PPS) (CVE-2020-15352)
Severidad: MEDIA
Fecha de publicación: 27/10/2020
Fecha de última actualización: 27/02/2024
Una vulnerabilidad de tipo XML external entity (XXE) en Pulse Connect Secure (PCS) versiones anteriores a 9.1R9 y Pulse Policy Secure (PPS) versiones anteriores a 9.1R9, permite a administradores autenticados remotos conducir ataques de tipo server-side request forgery (SSRF) por medio de un DTD diseñado en una petición XML
-
Vulnerabilidad en la interfaz de usuario web en Pulse Connect Secure / Pulse Policy Secure (CVE-2020-8262)
Severidad: MEDIA
Fecha de publicación: 28/10/2020
Fecha de última actualización: 27/02/2024
Una vulnerabilidad en Pulse Connect Secure / Pulse Policy Secure versiones por debajo de 9.1R9, podría permitir a atacantes conducir ataques de tipo Cross-Site Scripting (XSS) y Redireccionamiento Abierto para la interfaz de usuario web autenticada
-
Vulnerabilidad en la interfaz de usuario web en Pulse Connect Secure / Pulse Policy Secure (CVE-2020-8261)
Severidad: MEDIA
Fecha de publicación: 28/10/2020
Fecha de última actualización: 27/02/2024
Una vulnerabilidad en Pulse Connect Secure / Pulse Policy Secure versiones anteriores a 9.1R9, es vulnerable a una inyección de cookies arbitraria
-
Vulnerabilidad en kernel de Linux (CVE-2019-11477)
Severidad: ALTA
Fecha de publicación: 19/06/2019
Fecha de última actualización: 27/02/2024
Jonathan Looney detectó que el valor TCP_SKB_CB(skb)-mayor que tcp_gso_segs estuvo sujeto a un desbordamiento de enteros en el kernel de Linux durante el manejo del Reconocimiento Selectivo (SACK) de TCP. Un atacante remoto podría usar esto para causar una denegación de servicio. Esto se ha corregido en versiones de kernel estables 4.4.182, 4.9.182, 4.14.127, 4.19.52, 5.1.11, y se corrige en el commit 3b4929f65b0d8249f19a50245cd88ed1a2f78cff.
-
Vulnerabilidad en kernel de Linux (CVE-2019-11478)
Severidad: MEDIA
Fecha de publicación: 19/06/2019
Fecha de última actualización: 27/02/2024
Jonathan Looney descubrió que la implementación de la cola de retransmisión de TCP en tcp_fragment en el kernel de Linux podría estar fragmentada cuando se manejan ciertas secuencias de Reconocimiento Selectivo (SACK) de TCP. Un atacante remoto podría usar esto para causar una denegación de servicio. Esto se ha corregido en versiones de kernel estables 4.4.182, 4.9.182, 4.14.127, 4.19.52, 5.1.11, y se corrige en el commit f070ef2ac66716357066b683fb0baf55f8191a2e.
-
Vulnerabilidad en Pulse Secure Pulse Connect Secure (PCS) (CVE-2019-11507)
Severidad: MEDIA
Fecha de publicación: 08/05/2019
Fecha de última actualización: 27/02/2024
En Pulse Secure Pulse Connect Secure (PCS) 8.3.x versiones anteriores a 8.3R7.1 y 9.0.x anteriores a 9.0R3, se ha encontrado un problema de XSS en la página Application Launcher.
-
Vulnerabilidad en Pulse Secure Pulse Connect Connect (PCS) (CVE-2019-11508)
Severidad: MEDIA
Fecha de publicación: 08/05/2019
Fecha de última actualización: 27/02/2024
En Pulse Secure Pulse Connect Connect (PCS) versión anterior a 8.1R15.1, versión 8.2 anterior a 8.2 R12.1, versión 8.3 anterior a 8.3R7.1 y versión 9.0 anteior a 9.0R3.4, un atacante identificado (por medio de la interfaz web de administrador) puede operar un salto de directorio para ejecutar código arbitrario en el dispositivo.
-
Vulnerabilidad en En Pulse Secure Pulse Secure Connect (PCS) (CVE-2019-11509)
Severidad: MEDIA
Fecha de publicación: 03/06/2019
Fecha de última actualización: 27/02/2024
En Pulse Secure Pulse Secure Connect (PCS) anterior de la versión 8.1R15.1, 8.2 anterior de la versión 8.2R12.1, 8.3 anterior de la versión 8.3R7.1 y 9.0 anterior de 9.0R3.4 y Pulse Policy Secure (PPS) anterior de la versión 5.1R15.1, 5.2 anterior de la versión 5.2R12.1, 5.3 anterior de la versión 5.3R15.1, 5.4 anterior de la versión 5.4R7.1 y 9.0 ante de la versión 9.0R3.2, un atacante identificado (a través de la interfaz web de administración) puede operar el control de acceso incorrecto para ejecutar código arbitrario en el dispositivo .
-
Vulnerabilidad en Pulse Secure Pulse Connect Secure (PCS) (CVE-2019-11510)
Severidad: ALTA
Fecha de publicación: 08/05/2019
Fecha de última actualización: 27/02/2024
En Pulse Secure Pulse Connect Secure (PCS) versión 8.2 en versiones anteriores a la 8.2R12.1, versión 8.3 en versiones anteriores a la 8.3R7.1 y versión 9.0 en versiones anteriores a la 9.0R3.4, un atacante remoto no autenticado puede enviar una URI especialmente diseñado para realizar una vulnerabilidad de lectura de archivos arbitraria.
-
Vulnerabilidad en productos Pulse Secure (CVE-2019-11538)
Severidad: MEDIA
Fecha de publicación: 26/04/2019
Fecha de última actualización: 27/02/2024
En Pulse Secure Pulse Connect Secure versiones 9.0RX anteriores a 9.0R3.4, versiones 8.3RX anteriores a 8.3R7.1, versiones 8.2RX anteriores a 8.2R12.1, y versiones 8.1RX anteriores a 8.1R15.1, un problema NFS podría permitir a un atacante autenticado acceder al contenido de archivos arbitrarios en el dispositivo afectado.
-
Vulnerabilidad en productos Pulse Secure (CVE-2019-11539)
Severidad: MEDIA
Fecha de publicación: 26/04/2019
Fecha de última actualización: 27/02/2024
En Pulse Secure Pulse Connect Secure versiones 9.0RX anteriores a 9.0R3.4, versiones 8.3RX anteriores a 8.3R7.1, versiones 8.2RX anteriores a 8.2R12.1, y versiones 8.1RX anteriores a 8.1R15.1; Pulse Policy Secure versiones 9.0RX anteriores a 9.0R3.2, versiones 5.4RX anteriores a 5.4R7.1, versiones 5.3RX anteriores a 5.3R12.1, versiones 5.2RX anteriores a 5.2R12.1, y versiones 5.1RX anteriores a 5.1R15.1, la interfaz web de administración permite a un atacante autenticado inyectar y ejecutar comandos.
-
Vulnerabilidad en productos Pulse Secure (CVE-2019-11540)
Severidad: ALTA
Fecha de publicación: 26/04/2019
Fecha de última actualización: 27/02/2024
En Pulse Secure Pulse Connect Secure versiones 9.0RX anteriores a 9.0R3.4 y versiones 8.3RX anteriores a 8.3R7.1 y Pulse Policy Secure versiones 9.0RX anteriores a 9.0R3.2 y versiones 5.4RX anteriores a 5.4R7.1, un atacante remoto no autenticado puede llevar a cabo un ataque de secuestro de sesión.
-
Vulnerabilidad en productos Pulse Secure (CVE-2019-11541)
Severidad: MEDIA
Fecha de publicación: 26/04/2019
Fecha de última actualización: 27/02/2024
En Pulse Secure Pulse Connect Secure versiones 9.0RX anteriores a 9.0R3.4, versiones 8.3RX anteriores a 8.3R7.1 y versiones 8.2RX anteriores a 8.2R12.1, los usuarios que utilizan la autenticación SAML con la opción Reuse Existing NC (Pulse), pueden tener fugas de autenticación.
-
Vulnerabilidad en productos Pulse Secure (CVE-2019-11542)
Severidad: MEDIA
Fecha de publicación: 26/04/2019
Fecha de última actualización: 27/02/2024
En Pulse Secure Pulse Connect Secure versiones 9.0RX anteriores a 9.0R3.4, versiones 8.3RX anteriores a 8.3R7.1, versiones 8.2RX anteriores a 8.2R12.1, y versiones 8.1RX anteriores a 8.1R15.1; Pulse Policy Secure versiones 9.0RX anteriores a 9.0R3.2, versiones 5.4RX anteriores a 5.4R7.1, versiones 5.3RX anteriores a 5.3R12.1, versiones 5.2RX anteriores a 5.2R12.1, y versiones 5.1RX anteriores a 5.1R15.1, un atacante autenticado (a través de la interfaz web de administración) puede enviar un mensaje especialmente diseñado que resulte en un desbordamiento de búfer basado en pila .
-
Vulnerabilidad en productos Pulse Secure (CVE-2019-11543)
Severidad: MEDIA
Fecha de publicación: 26/04/2019
Fecha de última actualización: 27/02/2024
Existe una vulnerabilidad Cross-site scripting (XSS), en la consola web de administración de Pulse Secure Pulse Connect Secure (PCS) versiones 9.0RX anteriores a 9.0R3.4, versiones 8.3RX anteriores a 8.3R7.1, y versiones 8.1RX anteriores a 8.1R15.1; Pulse Policy Secure versiones 9.0RX anteriores a 9.0R3.2, versiones 5.4RX anteriores a 5.4R7.1, y versiones 5.2RX anteriores a 5.2R12.1
-
Vulnerabilidad en un parámetro de arranque del kernel en Pulse Policy Secure (PPS) y Pulse Connect Secure (PCS) Virtual Appliance (CVE-2020-12880)
Severidad: BAJA
Fecha de publicación: 27/07/2020
Fecha de última actualización: 27/02/2024
Se detectó un problema en Pulse Policy Secure (PPS) y Pulse Connect Secure (PCS) Virtual Appliance versiones anteriores a 9.1R8. Al manipular un determinado parámetro de arranque del kernel, puede ser engañado para que caiga en un shell root en una fase previa a la instalación donde el código fuente completo del dispositivo está disponible y puede ser recuperado. (De lo contrario, el código fuente es inaccesible porque el dispositivo posee sus discos duros cifrados y no existe ningún shell root disponible durante el funcionamiento normal)
-
Vulnerabilidad en Windows Resource Profiles Feature en Pulse Connect Secure (CVE-2021-22899)
Severidad: MEDIA
Fecha de publicación: 27/05/2021
Fecha de última actualización: 27/02/2024
Se presenta una vulnerabilidad de inyección de comandos en Pulse Connect Secure antes de 9.1R11.4 que permite a un atacante autenticado remoto llevar a cabo una ejecución de código remota por medio de Windows Resource Profiles Feature
-
Vulnerabilidad en Ivanti Pulse Secure Pulse Connect Secure (PCS) (CVE-2021-44720)
Severidad: Pendiente de análisis
Fecha de publicación: 12/08/2022
Fecha de última actualización: 27/02/2024
En Ivanti Pulse Secure Pulse Connect Secure (PCS) versiones anteriores a 9.1R12, la contraseña del administrador se almacena en el código fuente HTML de la pantalla "Maintenance ) Push Configuration ) Targets ) Target Name" targets.cgi. Un usuario administrativo de sólo lectura puede escalar a un rol administrativo de lectura y escritura.
-
Vulnerabilidad en una carga de archivo en Pulse Connect Secure (CVE-2021-22900)
Severidad: MEDIA
Fecha de publicación: 27/05/2021
Fecha de última actualización: 27/02/2024
Una vulnerabilidad permitió múltiples cargas sin restricciones en Pulse Connect Secure versiones anteriores a 9.1R11.4, que podrían conllevar a un administrador autenticado llevar a cabo una escritura de archivo por medio de una carga de archivo diseñada con fines maliciosos en la interfaz web del administrador
-
Vulnerabilidad en Trend Micro Deep Security 20 y Cloud One - Workload Security Agent para Windows (CVE-2022-40707)
Severidad: Pendiente de análisis
Fecha de publicación: 28/09/2022
Fecha de última actualización: 27/02/2024
Una vulnerabilidad de lectura fuera de límites en Trend Micro Deep Security 20 y Cloud One - Workload Security Agent para Windows podría permitir a un atacante local divulgar información confidencial en las instalaciones afectadas. Tenga en cuenta: un atacante debe obtener primero la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder explotar estas vulnerabilidades. Esta vulnerabilidad es similar, pero no idéntica, a la CVE-2022-40708
-
Vulnerabilidad en Trend Micro Deep Security 20 y Cloud One - Workload Security Agent para Windows (CVE-2022-40708)
Severidad: Pendiente de análisis
Fecha de publicación: 28/09/2022
Fecha de última actualización: 27/02/2024
Una vulnerabilidad de lectura fuera de límites en Trend Micro Deep Security 20 y Cloud One - Workload Security Agent para Windows podría permitir a un atacante local divulgar información confidencial en las instalaciones afectadas. Tenga en cuenta que un atacante debe obtener primero la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder explotar estas vulnerabilidades. Esta vulnerabilidad es similar, pero no idéntica, a la CVE-2022-40707
-
Vulnerabilidad en Trend Micro Deep Security 20 y Cloud One - Workload Security Agent para Windows (CVE-2022-40709)
Severidad: Pendiente de análisis
Fecha de publicación: 28/09/2022
Fecha de última actualización: 27/02/2024
Una vulnerabilidad de lectura fuera de límites en Trend Micro Deep Security 20 y Cloud One - Workload Security Agent para Windows podría permitir a un atacante local divulgar información confidencial en las instalaciones afectadas. Tenga en cuenta que un atacante debe obtener primero la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder explotar estas vulnerabilidades. Esta vulnerabilidad es similar, pero no idéntica, a las CVE-2022-40707 y 40708
-
Vulnerabilidad en Trend Micro Deep Security 20 y Cloud One - Workload Security Agent para Windows (CVE-2022-40710)
Severidad: Pendiente de análisis
Fecha de publicación: 28/09/2022
Fecha de última actualización: 27/02/2024
Una vulnerabilidad de seguimiento de enlaces en Trend Micro Deep Security 20 y Cloud One - Workload Security Agent para Windows podría permitir a un atacante local escalar privilegios en las instalaciones afectadas. Nota: un atacante debe obtener primero la capacidad de ejecutar código con pocos privilegios en el sistema de destino para poder explotar esta vulnerabilidad
-
Vulnerabilidad en una petición POST en la aplicación (CVE-2022-21826)
Severidad: Pendiente de análisis
Fecha de publicación: 30/09/2022
Fecha de última actualización: 27/02/2024
Pulse Secure versiones 9.115,y anteriores, pueden ser susceptibles de contrabando de peticiones http del lado del cliente, cuando la aplicación recibe una petición POST, ignora el encabezado Content-Length de la petición y deja el cuerpo del POST en el socket TCP/TLS. Este cuerpo termina prefijando la siguiente petición HTTP enviada por esa conexión, esto significa que cuando alguien carga el sitio web el atacante puede ser capaz de hacer que el navegador emita un POST a la aplicación, permitiendo un ataque de tipo XSS
-
Vulnerabilidad en el ID de Reunión en Pulse Connect Secure (CVE-2020-8216)
Severidad: MEDIA
Fecha de publicación: 30/07/2020
Fecha de última actualización: 27/02/2024
Una vulnerabilidad de divulgación de información en la reunión de Pulse Connect Secure versiones anteriores a 9.1R8, permitió a usuarios finales autenticados encontrar detalles de la reunión, si conocen el ID de Reunión
-
Vulnerabilidad en un URI en la interfaz web de administración en Pulse Connect Secure (CVE-2020-8218)
Severidad: MEDIA
Fecha de publicación: 30/07/2020
Fecha de última actualización: 27/02/2024
Se presenta una vulnerabilidad de inyección de código en Pulse Connect Secure versiones anteriores a 9.1R8, que permite a un atacante diseñar un URI para llevar a cabo una ejecución de código arbitraria por medio de la interfaz web de administración
-
Vulnerabilidad en la interfaz de usuario web de Pulse Connect Secure y Pulse Policy Secure (CVE-2020-8238)
Severidad: MEDIA
Fecha de publicación: 30/09/2020
Fecha de última actualización: 27/02/2024
Una vulnerabilidad en la interfaz de usuario web autenticado de Pulse Connect Secure y Pulse Policy Secure versiones anteriores a 9.1R8.2, podría permitir a atacantes llevar a cabo un ataque de tipo Cross-Site Scripting (XSS)
-
Vulnerabilidad en Pulse Collaboration en la interfaz de administración web de Pulse Connect Secure (CVE-2020-8256)
Severidad: MEDIA
Fecha de publicación: 30/09/2020
Fecha de última actualización: 27/02/2024
Una vulnerabilidad en la interfaz de administración web de Pulse Connect Secure versiones anteriores a 9.1R8.2, podría permitir a un atacante autenticado obtener acceso arbitrario de lectura de archivos por medio de Pulse Collaboration mediante una vulnerabilidad de tipo XML External Entity (XXE)
-
Vulnerabilidad en las funciones de Windows File Share Browser y Pulse Secure Collaboration de Pulse Connect Secure (CVE-2021-22893)
Severidad: ALTA
Fecha de publicación: 23/04/2021
Fecha de última actualización: 27/02/2024
Pulse Connect Secure versiones 9.0R3/9.1R1 y posteriores, es susceptible a una vulnerabilidad de omisión de autenticación expuesta por las funciones de Windows File Share Browser y Pulse Secure Collaboration de Pulse Connect Secure, que pueden permitir a un usuario no autenticado llevar a cabo una ejecución de código remoto arbitrario en Pulse Connect Secure gateway. Esta vulnerabilidad ha sido explotado en el wild
-
Vulnerabilidad en Ivanti (CVE-2022-35254)
Severidad: Pendiente de análisis
Fecha de publicación: 05/12/2022
Fecha de última actualización: 27/02/2024
Un atacante no autenticado puede provocar una Denegación de Servicio (DoS) a los siguientes productos: Ivanti Connect Secure (ICS) en versiones anteriores a 9.1R14.3, 9.1R15.2, 9.1R16.2 y 22.2R4, Ivanti Policy Secure (IPS ) en versiones anteriores a 9.1R17 y 22.3R1, e Ivanti Neurons for Zero-Trust Access en versiones anteriores a 22.3R1.
-
Vulnerabilidad en Ivanti (CVE-2022-35258)
Severidad: Pendiente de análisis
Fecha de publicación: 05/12/2022
Fecha de última actualización: 27/02/2024
Un atacante no autenticado puede provocar una Denegación de Servicio (DoS) a los siguientes productos: Ivanti Connect Secure (ICS) en versiones anteriores a 9.1R14.3, 9.1R15.2, 9.1R16.2 y 22.2R4, Ivanti Policy Secure (IPS ) en versiones anteriores a 9.1R17 y 22.3R1, e Ivanti Neurons for Zero-Trust Access en versiones anteriores a 22.3R1.
-
Vulnerabilidad en una sala de reuniones en Pulse Connect Secure (CVE-2021-22894)
Severidad: ALTA
Fecha de publicación: 27/05/2021
Fecha de última actualización: 27/02/2024
Se presenta una vulnerabilidad de Desbordamiento del Búfer en Pulse Connect Secure versiones anteriores a 9.1R11.4, permite a un atacante autenticado remoto ejecutar código arbitrario como usuario root por medio de una sala de reuniones diseñada con fines maliciosos
-
Vulnerabilidad en los recursos SMB en Windows File Resource Profiles (CVE-2021-22908)
Severidad: ALTA
Fecha de publicación: 27/05/2021
Fecha de última actualización: 27/02/2024
Se presenta una vulnerabilidad de Desbordamiento del Búfer en Windows File Resource Profiles versión 9.X, que permite a un usuario autenticado remoto con privilegios para explorar recursos compartidos SMB ejecutar código arbitrario como usuario root. A partir de la versión 9.1R3, este permiso no está habilitado por defecto
-
Vulnerabilidad en una petición web en Pulse Connect Secure (CVE-2021-22934)
Severidad: MEDIA
Fecha de publicación: 16/08/2021
Fecha de última actualización: 27/02/2024
Una vulnerabilidad en Pulse Connect Secure, versiones anteriores a 9.1R12, podría permitir a un administrador autenticado o a un dispositivo Pulse Connect Secure comprometido en una configuración de carga equilibrada llevar a cabo un desbordamiento del búfer por medio de una petición web maliciosa diseñada.
-
Vulnerabilidad en un parámetro web en Pulse Connect Secure (CVE-2021-22935)
Severidad: MEDIA
Fecha de publicación: 16/08/2021
Fecha de última actualización: 27/02/2024
Una vulnerabilidad en Pulse Connect Secure, versiones anteriores a 9.1R12, podría permitir a un administrador autenticado llevar a cabo una inyección de comandos por medio de un parámetro web no saneado.
-
Vulnerabilidad en un parámetro web en Pulse Connect Secure (CVE-2021-22936)
Severidad: MEDIA
Fecha de publicación: 16/08/2021
Fecha de última actualización: 27/02/2024
Una vulnerabilidad en Pulse Connect Secure, versiones anteriores a 9.1R12, podría permitir a un actor de amenazas llevar a cabo un ataque de tipo cross-site script contra un administrador autenticado por medio de un parámetro web no digitalizado.
-
Vulnerabilidad en un archivo cargado en la interfaz web del administrador en Pulse Connect Secure (CVE-2021-22937)
Severidad: MEDIA
Fecha de publicación: 16/08/2021
Fecha de última actualización: 27/02/2024
Una vulnerabilidad en Pulse Connect Secure, versiones anteriores a 9.1R12, podría permitir a un administrador autenticado llevar a cabo una escritura de archivos por medio de un archivo malicioso cargado en la interfaz web del administrador.
-
Vulnerabilidad en un parámetro web en la consola web del administrador en Pulse Connect Secure (CVE-2021-22938)
Severidad: MEDIA
Fecha de publicación: 16/08/2021
Fecha de última actualización: 27/02/2024
Una vulnerabilidad en Pulse Connect Secure, versiones anteriores a 9.1R12, podía permitir a un administrador autenticado llevar a cabo una inyección de comandos por medio de un parámetro web no saneado en la consola web del administrador.
-
Vulnerabilidad en una petición web en Pulse Connect Secure (CVE-2021-22933)
Severidad: MEDIA
Fecha de publicación: 16/08/2021
Fecha de última actualización: 27/02/2024
Una vulnerabilidad en Pulse Connect Secure, versiones anteriores a 9.1R12, podría permitir a un administrador autenticado llevar a cabo una eliminación de archivos arbitraria por medio de una petición web maliciosamente diseñada.
-
Vulnerabilidad en en Pulse Connect Secure (CVE-2021-22965)
Severidad: ALTA
Fecha de publicación: 19/11/2021
Fecha de última actualización: 27/02/2024
Una vulnerabilidad en Pulse Connect Secure versiones anteriores a 9.1R12.1, podría permitir a un administrador no autenticado causar una denegación de servicio cuando es enviada una petición malformada al dispositivo
-
Vulnerabilidad en Microsoft.Data.SqlClient y System.Data.SqlClient (CVE-2024-0056)
Severidad: Pendiente de análisis
Fecha de publicación: 09/01/2024
Fecha de última actualización: 27/02/2024
Vulnerabilidad de omisión de característica de seguridad del proveedor de datos SQL de Microsoft.Data.SqlClient y System.Data.SqlClient
-
Vulnerabilidad en NET, .NET Framework y Visual Studio Security Feature Bypass (CVE-2024-0057)
Severidad: Pendiente de análisis
Fecha de publicación: 09/01/2024
Fecha de última actualización: 27/02/2024
Vulnerabididad en NET, .NET Framework y Visual Studio Security Feature Bypass
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21343)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 27/02/2024
Vulnerabilidad de denegación de servicio de traducción de direcciones de red (NAT) de Windows
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21344)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 27/02/2024
Vulnerabilidad de denegación de servicio de traducción de direcciones de red (NAT) de Windows
-
Vulnerabilidad en Microsoft Corporation (CVE-2024-21353)
Severidad: Pendiente de análisis
Fecha de publicación: 13/02/2024
Fecha de última actualización: 27/02/2024
Vulnerabilidad de ejecución remota de código del controlador ODBC de Microsoft WDAC