Boletín de vulnerabilidades
Vulnerabilidades con productos recientemente documentados:
No hay vulnerabilidades nuevas para los productos a los que está suscrito.
Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:
-
Vulnerabilidad en archivo de configuración /usr/smartrtu/init/settings.xml (CVE-2019-14925)
Severidad: MEDIA
Fecha de publicación: 28/10/2019
Fecha de última actualización: 17/06/2026
Se descubrió un problema en los dispositivos Mitsubishi Electric ME-RTU versiones hasta la versión 2.02 y los dispositivos INEA ME-RTU versiones hasta la versión 3.0. Un archivo de configuración /usr/smartrtu/init/settings.xml de tipo world-readable en el sistema de archivos le permite al atacante leer ajustes de configuración confidencial tales como nombres de usuario, contraseñas y otros datos confidenciales de la RTU debido a una asignación de permisos no seguros.
-
Vulnerabilidad en las contraseñas de usuario en /etc/sudoers en los dispositivos Mitsubishi Electric ME-RTU (CVE-2019-14930)
Severidad: CRÍTICA
Fecha de publicación: 28/10/2019
Fecha de última actualización: 17/06/2026
Se descubrió un problema en los dispositivos Mitsubishi Electric ME-RTU versiones hasta la versión 2.02 y los dispositivos INEA ME-RTU versiones hasta 3.0. Las contraseñas de usuario embebidas no documentadas para root, ineaadmin, mitsadmin y maint podrían permitir a un atacante conseguir acceso no autorizado a la RTU. (Además, las cuentas ineaadmin y mitsadmin pueden escalar privilegios a root sin suministrar una contraseña debido a entradas no seguras en /etc/sudoers en la RTU).
-
Vulnerabilidad en el archivo index.php en los dispositivos Mitsubishi Electric ME-RTU (CVE-2019-14928)
Severidad: MEDIA
Fecha de publicación: 28/10/2019
Fecha de última actualización: 17/06/2026
Se descubrió un problema en los dispositivos Mitsubishi Electric ME-RTU versiones hasta la verisón 2.02 y los dispositivos INEA ME-RTU versiones hasta la versión 3.0. Una serie de vulnerabilidades de tipo cross-site script (XSS) almacenado permiten a un atacante inyectar código malicioso directamente en la aplicación. Un ejemplo de variable de entrada vulnerable a XSS almacenado es SerialInitialModemString en la página del archivo index.php.
-
Vulnerabilidad en el archivo pcre2_jit_compile.c en la función do_extuni_no_utf en el patrón \X compilado en JIT en PCRE (CVE-2019-20454)
Severidad: ALTA
Fecha de publicación: 14/02/2020
Fecha de última actualización: 17/06/2026
Se detectó una lectura fuera de límites en PCRE versiones anteriores a 10.34, cuando el patrón \X es compilado en JIT y usado para hacer coincidir temas especialmente diseñados en modo no UTF. Las aplicaciones que utilizan PCRE para analizar entradas no confiables pueden ser vulnerables a este fallo, lo que permitiría a un atacante bloquear la aplicación. El fallo ocurre en la función do_extuni_no_utf en el archivo pcre2_jit_compile.c.
-
Vulnerabilidad en JIT en libpcre en PCRE (CVE-2019-20838)
Severidad: ALTA
Fecha de publicación: 15/06/2020
Fecha de última actualización: 17/06/2026
libpcre en PCRE versiones anteriores a 8.43, permite una lectura excesiva del búfer del asunto en JIT cuando UTF es deshabilitado, y \X o \R contiene más de un cuantificador corregido, un problema relacionado con CVE-2019-20454
-
Vulnerabilidad en paquetes de diagnóstico en la interfaz DCE-RPC en la pila de Profinet-IO (PNIO) en diversos productos de Siemens (CVE-2019-13946)
Severidad: ALTA
Fecha de publicación: 11/02/2020
Fecha de última actualización: 17/06/2026
Las versiones de la pila Profinet-IO (PNIO) anteriores a la V06.00 no limitan adecuadamente la asignación de recursos internos cuando se envían múltiples solicitudes legítimas de paquetes de diagnóstico a la interfaz DCE-RPC. Esto podría conducir a una condición de denegación de servicio debido a la falta de memoria para los dispositivos que incluyen una versión vulnerable de la pila. La vulnerabilidad de seguridad podría ser explotada por un atacante con acceso de red a un dispositivo afectado. La explotación exitosa no requiere privilegios del sistema ni interacción del usuario. Un atacante podría utilizar la vulnerabilidad para comprometer la disponibilidad del dispositivo
-
Vulnerabilidad en FortiProxy y FortiOS (CVE-2019-15706)
Severidad: MEDIA
Fecha de publicación: 17/03/2025
Fecha de última actualización: 17/06/2026
Una neutralización incorrecta de la entrada durante la generación de páginas web en el portal VPN SSL de FortiProxy versión 2.0.0, versión 1.2.9 y anteriores y FortiOS versión 6.2.1 y anteriores, versión 6.0.8 y anteriores, versión 5.6.12 puede permitir que un atacante autenticado remoto realice un ataque de cross site scripting (XSS) almacenado.



