Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en Apache Commons Compress (CVE-2019-12402)
  Severidad: MEDIA
  Fecha de publicación: 30/08/2019
  Fecha de última actualización: 18/08/2023
  El algoritmo de codificación de nombre de archivo utilizado internamente en Apache Commons Compress versiones 1.15 hasta 1.18, puede entrar en un bucle infinito cuando se enfrenta a entradas especialmente diseñadas. Esto puede conllevar a un ataque de denegación de servicio si un atacante puede elegir los nombres de archivo dentro de un registro creado por Compress.
  
• Vulnerabilidad en go-cvss (CVE-2022-39213)
  Severidad: Pendiente de análisis
  Fecha de publicación: 15/09/2022
  Fecha de última actualización: 18/08/2023
  go-cvss es un módulo Go para manipular el Sistema de Puntuación de Vulnerabilidad Común (CVSS). En las versiones afectadas, cuando es analizada una cadena de vectores CVSS versión v2.0 completa mediante "ParseVector", es posible que sea producida una lectura fuera de los límites debido a una falta de pruebas. El módulo Go entrará en pánico. El problema está parcheado en la etiqueta "v0.4.0", mediante el commit "d9d478ff0c13b8b09ace030db9262f3c2fe031f4". Es recomendado a usuarios actualizar. Los usuarios que no puedan actualizar pueden evitar este problema al analizar sólo las cadenas de vectores CVSS versión v2.0 que no tengan todos los atributos definidos (por ejemplo, "AV:N/AC:L/Au:N/C:P/I:P/A:C/E:U/RL:OF/RC:C/CDP:MH/TD:H/CR:M/IR:M/AR:M"). Como es indicado en [SECURITY.md](https://github.com/pandatix/go-cvss/blob/master/SECURITY.md), el CPE versión v2.3 para referirse a este módulo Go es "cpe:2.3:a:pandatix:go_cvss:*:*:*:*:*". La entrada ya ha sido solicitada al diccionario CPE de NVD