Vulnerabilidades

El análisis sintáctico de archivos de proyecto mal formados en Omron CX-One, en versiones 4.42 y anteriores, incluyendo las siguientes aplicaciones: CX-FLnet, en versiones 1.00 y anteriores; CX-Protocol, en versiones 1.992 y anteriores; CX-Programmer, en versiones 9.65 y anteriores; CX-Server, en versiones 5.0.22 y anteriores; Network Configurator, en versiones 3.63 y anteriores y Switch Box Utility, en versiones 1.68 y anteriores, podría provocar un desbordamiento de búfer basado en pila.

Una vulnerabilidad en el componente de scripting de informes en TIBCO JasperReports Server, TIBCO JasperReports Server Community Edition, TIBCO JasperReports Server for ActiveMatrix BPM, TIBCO JasperReports Library, TIBCO JasperReports Library Community Edition, TIBCO JasperReports Library for ActiveMatrix BPM, TIBCO Jaspersoft for AWS with Multi-Tenancy, TIBCO Jaspersoft Reporting and Analytics for AWS, TIBCO Jaspersoft Studio, TIBCO Jaspersoft Studio Community Edition y TIBCO Jaspersoft Studio for ActiveMatrix BPM, de TIBCO Software Inc., podría permitir que informes analíticos que contengan scripting realicen ejecución de código arbitrario. Las versiones afectadas incluyen a TIBCO JasperReports Server: versiones hasta e incluyendo la 6.2.4, 6.3.0, 6.3.2, 6.3.3, 6.4.0 y 6.4.2; TIBCO JasperReports Server Community Edition: versiones hasta e incluyendo la 6.4.2; TIBCO JasperReports Server for ActiveMatrix BPM: versiones hasta e incluyendo la 6.4.2; TIBCO JasperReports Library: versiones hasta e incluyendo la 6.2.4, 6.3.0, 6.3.2, 6.3.3, 6.4.0, 6.4.1 y 6.4.2; TIBCO JasperReports Library Community Edition: versiones hasta e incluyendo la 6.4.3; TIBCO JasperReports Library for ActiveMatrix BPM: versiones hasta e incluyendo la 6.4.2; TIBCO Jaspersoft for AWS with Multi-Tenancy: versiones hasta e incluyendo la 6.4.2; TIBCO Jaspersoft Reporting and Analytics for AWS: versiones hasta e incluyendo la 6.4.2; TIBCO Jaspersoft Studio: versiones hasta e incluyendo la 6.2.4, 6.3.0, 6.3.2, 6.3.3, 6.4.0 y 6.4.2; TIBCO Jaspersoft Studio Community Edition: versiones hasta e incluyendo la 6.4.3; TIBCO Jaspersoft Studio for ActiveMatrix BPM: versiones hasta e incluyendo la 6.4.2, de TIBCO Software Inc.

El componente domain designer de TIBCO JasperReports Server, TIBCO JasperReports Server Community Edition, TIBCO JasperReports Server for ActiveMatrix BPM, TIBCO Jaspersoft for AWS with Multi-Tenancy y TIBCO Jaspersoft Reporting and Analytics for AWS, de TIBCO Software Inc., contiene una vulnerabilidad que podría permitir, en el contexto de una configuración de permisos que no sea por defecto, ataques de Cross-Site Scripting (XSS) persistente. Las versiones afectadas incluyen TIBCO JasperReports Server: versiones hasta e incluyendo la 6.2.4, 6.3.0, 6.3.2, 6.3.3, 6.4.0 y 6.4.2; TIBCO JasperReports Server Community Edition: versiones hasta e incluyendo la 6.4.2; TIBCO JasperReports Server for ActiveMatrix BPM: versiones hasta e incluyendo la 6.4.2; TIBCO Jaspersoft for AWS with Multi-Tenancy: versiones hasta e incluyendo la 6.4.2; TIBCO Jaspersoft Reporting and Analytics for AWS: versiones hasta e incluyendo la 6.4.2, de TIBCO Software Inc.

Los flujos web Spring de TIBCO JasperReports Server, TIBCO JasperReports Server Community Edition, TIBCO JasperReports Server for ActiveMatrix BPM, TIBCO Jaspersoft for AWS with Multi-Tenancy y TIBCO Jaspersoft Reporting and Analytics for AWS, de TIBCO Software Inc., contienen una vulnerabilidad que podría permitir que cualquier usuario autenticado tenga acceso de solo-lectura al contenido de la aplicación web, incluyendo los archivos clave de configuración. Las versiones afectadas incluyen TIBCO JasperReports Server: versiones hasta e incluyendo la 6.2.4, 6.3.0, 6.3.2, 6.3.3, 6.4.0 y 6.4.2; TIBCO JasperReports Server Community Edition: versiones hasta e incluyendo la 6.4.2; TIBCO JasperReports Server for ActiveMatrix BPM: versiones hasta e incluyendo la 6.4.2; TIBCO Jaspersoft for AWS with Multi-Tenancy: versiones hasta e incluyendo la 6.4.2; TIBCO Jaspersoft Reporting and Analytics for AWS: versiones hasta e incluyendo la 6.4.2, de TIBCO Software Inc.

IBM WebSphere Portal, de la versión 8.0.0 hasta la 8.0.0.1, 8.5 y 9.0 es vulnerable a Cross-Site Scripting (XSS). Esta vulnerabilidad permite que los usuarios embeban código JavaScript arbitrario en la interfaz de usuario web, lo que altera las funcionalidades previstas. Esto podría dar lugar a una revelación de credenciales en una sesión de confianza. IBM X-Force ID: 139907.

Un cliente IBM WebSphere MQ 8.0.0.8, 9.0.0.2 y 9.0.4 que se conecte a MQ Queue Manager puede provocar un SIGSEGV en el proceso del canal AMQRMPPA, terminándolo. IBM X-Force ID: 137771.

Se ha descubierto un problema en BigTree 4.2.22. Hay Cross-Site Scripting (XSS) en /core/inc/lib/less.php/test/index.php debido a un eco $_SERVER['REQUEST_URI'], tal y como demuestra el parámetro dir en una acción file=charsets.

El software de Leao Consultoria e Desenvolvimento de Sistemas (LCDS), LTDA ME LAquis SCADA, en versiones anteriores a la 4.1.0.3237, no neutraliza las entradas externas para asegurarse de que los usuarios no están llamando a secuencias de ruta absolutas fuera de su nivel de privilegios.

BMC Medical Luna CPAP Machines, lanzadas antes del 1 de julio de 2017, contienen una vulnerabilidad de validación de entradas incorrecta, lo que puede permitir que un atacante autenticado provoque el cierre inesperado del módulo Wi-Fi de CPAP. Esto resulta en una condición de denegación de servicio (DoS).

Mitsubishi E-Designer, Version 7.52 Build 344, contiene dos secciones de código que podrían ser explotadas para permitir que un atacante sobrescriba ubicaciones de memoria arbitrarias. Esto puede resultar en la ejecución de código arbitrario, el compromiso de la integridad de los datos, denegación de servicio (DoS) y cierre inesperado del sistema.

Mitsubishi E-Designer, Version 7.52 Build 344, contiene cinco secciones de código que podrían ser explotadas para sobrescribir la memoria dinámica (heap). Esto puede resultar en la ejecución de código arbitrario, el compromiso de la integridad de los datos, denegación de servicio (DoS) y cierre inesperado del sistema.

Mitsubishi E-Designer, Version 7.52 Build 344, contiene seis secciones de código que podrían ser explotadas para sobrescribir la pila. Esto puede resultar en la ejecución de código arbitrario, el compromiso de la integridad de los datos, denegación de servicio (DoS) y cierre inesperado del sistema.