Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en la función picolcd_raw_event en el kernel de Linux (CVE-2014-3186)
    Severidad: MEDIA
    Fecha de publicación: 28/09/2014
    Fecha de última actualización: 06/06/2024
    Desbordamiento de buffer en la función picolcd_raw_event en devices/hid/hid-picolcd_core.c en el controlador de dispositivos PicoLCD HID en el kernel de Linux hasta 3.16.3, utilizado en Android en los dispositivos Nexus 7, permite a atacantes físicamente próximos causar una denegación de servicio (caída del sistema) o posiblemente ejecutar código arbitrario a través de un dispositivo manipulado que envía un informe grande.
  • Vulnerabilidad en el archivo ngiflib.c en la función GifIndexToTrueColor en MiniUPnP ngiflib. (CVE-2019-19011)
    Severidad: MEDIA
    Fecha de publicación: 17/11/2019
    Fecha de última actualización: 06/06/2024
    MiniUPnP ngiflib versión 0.4, tiene una desreferencia del puntero NULL en la función GifIndexToTrueColor en el archivo ngiflib.c por medio de un archivo que le falta una paleta.
  • Vulnerabilidad en la función WritePixel() en DecodeGifImg en ngiflib. (CVE-2019-16346)
    Severidad: MEDIA
    Fecha de publicación: 16/09/2019
    Fecha de última actualización: 06/06/2024
    ngiflib versión 0.4, presenta un desbordamiento de búfer en la región heap de la memoria en la función WritePixel() en la biblioteca ngiflib.c cuando es llamada desde DecodeGifImg, porque el desentrelazado para imágenes pequeñas es manejado inapropiadamente.
  • Vulnerabilidad en la biblioteca ngiflib.c en la función WritePixels() en DecodeGifImg en ngiflib (CVE-2019-16347)
    Severidad: MEDIA
    Fecha de publicación: 16/09/2019
    Fecha de última actualización: 06/06/2024
    ngiflib versión 0.4, presenta un desbordamiento de búfer en la región heap de la memoria en la función WritePixels() en la biblioteca ngiflib.c cuando se llama desde DecodeGifImg, porque el desentrelazado para imágenes pequeñas es manejado inapropiadamente.
  • Vulnerabilidad en el archivo drivers/media/platform/vivid en las funciones vivid_stop_generating_vid_cap(), vivid_stop_generating_vid_out(), sdr_cap_stop_streaming() y los kthreads en el kernel de Linux (CVE-2019-18683)
    Severidad: MEDIA
    Fecha de publicación: 04/11/2019
    Fecha de última actualización: 06/06/2024
    Se detectó un problema en el archivo drivers/media/platform/vivid en el kernel de Linux versiones hasta 5.3.8. Esto es explotable para una escalada de privilegios en algunas distribuciones de Linux donde los usuarios locales tienen acceso a /dev/video0, pero solo si el controlador ha sido cargado. Se presenta varias condiciones de carrera durante la detención de la transmisión en este controlador (parte del subsistema V4L2). Estos problemas son causados ??por el bloqueo de mutex incorrecto en las funciones vivid_stop_generating_vid_cap(), vivid_stop_generating_vid_out(), sdr_cap_stop_streaming() y los kthreads correspondientes. Al menos una de estas condiciones de carrera conlleva a un uso de la memoria previamente liberada.
  • Vulnerabilidad en la función memmove() en lz4 (CVE-2021-3520)
    Severidad: ALTA
    Fecha de publicación: 02/06/2021
    Fecha de última actualización: 06/06/2024
    Se presenta un fallo en lz4. Un atacante que envíe un archivo diseñado hacia una aplicación enlazada con lz4 puede ser capaz de desencadenar un desbordamiento de enteros, conllevando una llamada de la función memmove() con un argumento de tamaño negativo, causando una escritura fuera de límites y/o un bloqueo. El mayor impacto de este fallo es en la disponibilidad, con algún impacto potencial en la confidencialidad e integridad también
  • Vulnerabilidad en InfiniBand en el kernel de Linux (CVE-2014-8159)
    Severidad: MEDIA
    Fecha de publicación: 16/03/2015
    Fecha de última actualización: 06/06/2024
    La implementación InfiniBand (IB) en el paquete del kernel de Linux anterior a 2.6.32-504.12.2 en Red Hat Enterprise Linux (RHEL) 6 no restringe adecuadamente el uso de User Verbs para el registro de regiones de memoria, lo que permite a usaurios locales acceder de forma arbitraria a ubicaciones de la memoria física, y consecuentemente causar una denegación de servicio (caída del sistema) u obtener privilegios, aprovechando permisos en un dispositivo uverbs bajo /dev/infiniband/.
  • Vulnerabilidad en MariaDB Server (CVE-2022-47015)
    Severidad: Pendiente de análisis
    Fecha de publicación: 20/01/2023
    Fecha de última actualización: 06/06/2024
    MariaDB Server anterior a 10.3.34 hasta 10.9.3 es vulnerable a la denegación de servicio. Es posible que la función spider_db_mbase::print_warnings elimine la referencia a un puntero null.
  • Vulnerabilidad en Apache Software Foundation (CVE-2024-27316)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/04/2024
    Fecha de última actualización: 06/06/2024
    Los encabezados entrantes HTTP/2 que exceden el límite se almacenan temporalmente en nghttp2 para generar una respuesta HTTP 413 informativa. Si un cliente no deja de enviar encabezados, esto provoca que se agote la memoria.
  • Vulnerabilidad en iboss Secure Web Gateway (CVE-2024-3378)
    Severidad: MEDIA
    Fecha de publicación: 06/04/2024
    Fecha de última actualización: 06/06/2024
    Una vulnerabilidad ha sido encontrada en iboss Secure Web Gateway hasta 10.1 y clasificada como problemática. Una función desconocida del archivo /login del componente Login Portal es afectada por esta vulnerabilidad. La manipulación del argumento redirigirUrl conduce a cross-site scripting. El ataque se puede lanzar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. La actualización a la versión 10.2.0.160 puede solucionar este problema. Se recomienda actualizar el componente afectado. A esta vulnerabilidad se le asignó el identificador VDB-259501.
  • Vulnerabilidad en SolarWinds (CVE-2024-28999)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 06/06/2024
    Se determinó que la plataforma SolarWinds estaba afectada por una vulnerabilidad de condición de ejecución que afectaba a la consola web.
  • Vulnerabilidad en SolarWinds (CVE-2024-29004)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 06/06/2024
    Se determinó que la plataforma SolarWinds estaba afectada por una vulnerabilidad de cross-site scripting almacenado que afectaba a la consola web. Se requiere un usuario con altos privilegios y la interacción del usuario para aprovechar esta vulnerabilidad.
  • Vulnerabilidad en audimex audimexEE (CVE-2024-30889)
    Severidad: Pendiente de análisis
    Fecha de publicación: 04/06/2024
    Fecha de última actualización: 06/06/2024
    Vulnerabilidad de cross-site scripting en audimex audimexEE v.15.1.2 y corregida en 15.1.3.9 permite a un atacante remoto ejecutar código arbitrario a través de los parámetros servicio, método, widget_type, request_id y payload.