botón arriba

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Windows Defender Credential Guard de Microsoft (CVE-2022-35822)
    Severidad: Pendiente de análisis
    Fecha de publicación: 15/08/2022
    Fecha de última actualización: 31/05/2023
    Una Vulnerabilidad de Omisión de la Funcionalidad de Seguridad de Windows Defender Credential Guard. Este ID de CVE es diferente de CVE-2022-34709.
  • Vulnerabilidad en .NET Framework de Microsoft (CVE-2022-30130)
    Severidad: MEDIA
    Fecha de publicación: 10/05/2022
    Fecha de última actualización: 05/06/2023
    Una vulnerabilidad de Denegación de Servicio en .NET Framework
  • Vulnerabilidad en Oracle MySQL (CVE-2018-3170)
    Severidad: MEDIA
    Fecha de publicación: 17/10/2018
    Fecha de última actualización: 31/05/2023
    Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: DDL). Las versiones compatibles que se han visto afectadas son la 8.0.12 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa la seguridad de MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a que el atacante consiga provocar el bloqueo o cierre repetido (DoS completo) de MySQL Server. CVSS 3.0 Base Score 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en Oracle MySQL (CVE-2018-3182)
    Severidad: MEDIA
    Fecha de publicación: 17/10/2018
    Fecha de última actualización: 31/05/2023
    Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: DML). Las versiones compatibles que se han visto afectadas son la 8.0.12 y anteriores. Un vulnerabilidad fácilmente explotable permite que un atacante con un bajo nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa la seguridad de MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a que el atacante consiga provocar el bloqueo o cierre repetido (DoS completo) de MySQL Server. CVSS 3.0 Base Score 6.5 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en Oracle MySQL (CVE-2018-3186)
    Severidad: MEDIA
    Fecha de publicación: 17/10/2018
    Fecha de última actualización: 31/05/2023
    Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: Optimizer). Las versiones compatibles que se han visto afectadas son la 8.0.12 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa la seguridad de MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a que el atacante consiga provocar el bloqueo o cierre repetido (DoS completo) de MySQL Server. CVSS 3.0 Base Score 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en Oracle MySQL (CVE-2018-3195)
    Severidad: MEDIA
    Fecha de publicación: 17/10/2018
    Fecha de última actualización: 31/05/2023
    Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: Server: DDL). Las versiones compatibles que se han visto afectadas son la 8.0.12 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa la seguridad de MySQL Server. Los ataques exitosos a esta vulnerabilidad pueden dar lugar a que el atacante consiga provocar el bloqueo o cierre repetido (DoS completo) de MySQL Server, así como la actualización, inserción o supresión sin autorización de algunos de los datos accesibles de MySQL Server. CVSS 3.0 Base Score 5.5 (impactos en la integridad y disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:H).
  • Vulnerabilidad en Oracle MySQL (CVE-2019-2502)
    Severidad: MEDIA
    Fecha de publicación: 16/01/2019
    Fecha de última actualización: 31/05/2023
    Vulnerabilidad en el componente MySQL Server en Oracle MySQL (subcomponente: InnoDB). Las versiones compatibles que se han visto afectadas son la 8.0.13 y anteriores. Una vulnerabilidad fácilmente explotable permite que un atacante con un alto nivel de privilegios que tenga acceso a red por medio de múltiples protocolos comprometa la seguridad de MySQL Server. Los ataques exitosos de esta vulnerabilidad pueden resultar en la habilidad no autorizada para provocar un cuelgue o bloqueo repetido frecuentemente (DOS completo) de MySQL Server. CVSS 3.0 Base Score 4.9 (impactos en la disponibilidad). Vector CVSS: (CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H).
  • Vulnerabilidad en Gin (CVE-2023-31873)
    Severidad: Pendiente de análisis
    Fecha de publicación: 28/05/2023
    Fecha de última actualización: 02/06/2023
    Gin v0.7.4 permite la ejecución de código arbitrario cuando un archivo manipulado esta abierto, por ejemplo, a través de: require('child_process').
  • Vulnerabilidad en Yank Note (YN) (CVE-2023-31874)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/05/2023
    Fecha de última actualización: 03/06/2023
    Yank Note (YN) 3.52.1 permite la ejecución de código arbitrario cuando se abre un archivo manipulado, por ejemplo: "via nodeRequire('child_process')".
  • Vulnerabilidad en OX App Suite (CVE-2023-24605)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/05/2023
    Fecha de última actualización: 02/06/2023
    OX App Suite antes de la versión 7.10.6-rev37 no impone la verificación en dos pasos para todos los servicios finales, como por ejemplo: leer desde un dispositivo, leer datos de contacto y el cambio de nombre de símbolos.
  • Vulnerabilidad en Libarchive (CVE-2023-30571)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/05/2023
    Fecha de última actualización: 05/06/2023
    Libarchive hasta la versión 3.6.2 puede hacer que los directorios tengan permisos de escritura global. La llamada "umask()" dentro del archivo "archive_write_disk_posix.c" cambia la máscara de usuario de todo el proceso durante un periodo de tiempo muy corto; una condición de carrera con otro hilo puede llevar a un ajuste permanente de la máscara de usuario a 0. Tal condición de carrera podría llevar a la creación implícita de directorios con permisos 0777, sin el bit adhesivo ("sticky bit"), lo que significa que cualquier usuario local con pocos privilegios puede borrar y renombrar archivos dentro de esos directorios.
  • Vulnerabilidad en Tuleap (CVE-2023-32072)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/05/2023
    Fecha de última actualización: 05/06/2023
    Tuleap es una herramienta de código abierto para la trazabilidad de extremo a extremo de los desarrollos de aplicaciones y sistemas. En Tuleap Community Edition anterior a la versión 14.8.99.60 y en Tuleap Enterprise Edition anterior a las versiones 14.8-3 y 14.7-7 los registros de las URLs de los trabajos Jenkins desencadenados no se escapan correctamente. Un administrador Git malicioso puede configurar un "hook" de Jenkins malicioso para hacer que una víctima, también administrador Git, ejecute código no controlado. Tuleap Community Edition v14.8.99.60, Tuleap Enterprise Edition v14.8-3 y Tuleap Enterprise Edition v14.7-7 contienen un parche para este problema.
  • Vulnerabilidad en Dolibarr (CVE-2023-30253)
    Severidad: Pendiente de análisis
    Fecha de publicación: 29/05/2023
    Fecha de última actualización: 05/06/2023
    En la versiones anteriores a Dolibarr v17.0.1 se permite la ejecución remota de código por un usuario autenticado a través de una manipulación de mayúsculas, por ejemplo: "
  • Vulnerabilidad en Gost (CVE-2023-32691)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/05/2023
    Fecha de última actualización: 05/06/2023
    Gost (GO Simple Tunnel) es un túnel simple escrito en golang. Secretos sensibles como contraseñas, tokens y claves API deben ser comparados sólo usando una función de comparación en tiempo constante. La entrada no fiable, procedente de una cabecera HTTP, se compara directamente con un secreto. Como esta comparación no es segura, un atacante puede montar un ataque de tiempo de canal lateral para adivinar la contraseña. Como solución, esto se puede arreglar fácilmente utilizando una función de comparación de tiempo constante como "ConstantTimeCompare" de "crypto/subtle"
  • Vulnerabilidad en Pomerium (CVE-2023-33189)
    Severidad: Pendiente de análisis
    Fecha de publicación: 30/05/2023
    Fecha de última actualización: 05/06/2023
    Pomerium es un proxy de acceso consciente de la identidad y el contexto. Con peticiones manipuladas, Pomerium puede tomar decisiones de autorización incorrectas. Este problema ha sido corregido en las versiones 0.17.4, 0.18.1, 0.19.2, 0.20.1, 0.21.4 y 0.22.2.