Suscribirse a CERTSI - Vulnerabilities RSS

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (http://nvd.nist.gov/) (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (http://cve.mitre.org/) (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS (https://www.certsi.es/feed/vulnerabilities) o Boletines (https://www.certsi.es/suscripciones) podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

CVE-2017-8012

Gravedad: 
Sin asignar
Fecha publicación : 
21/09/2017
Última modificación: 
21/09/2017
Descripción:  
*** Pendiente de traducción *** In EMC ViPR SRM, Storage M&R, VNX M&R, and M&R (Watch4Net) for SAS Solution Packs, the Java Management Extensions (JMX) protocol used to communicate between components in the Alerting and/or Compliance components can be leveraged to create a denial of service (DoS) condition. Attackers with knowledge of JMX agent user credentials could potentially exploit this vulnerability to create arbitrary files on the affected system and create a DoS condition by leveraging inherent JMX protocol capabilities.

CVE-2017-14681

Gravedad: 
Sin asignar
Fecha publicación : 
21/09/2017
Última modificación: 
21/09/2017
Descripción:  
*** Pendiente de traducción *** The daemon in P3Scan 3.0_rc1 and earlier creates a p3scan.pid file after dropping privileges to a non-root account, which might allow local users to kill arbitrary processes by leveraging access to this non-root account for p3scan.pid modification before a root script executes a "kill `cat /pathname/p3scan.pid`" command, as demonstrated by etc/init.d/p3scan.

CVE-2017-14682

Gravedad: 
Sin asignar
Fecha publicación : 
21/09/2017
Última modificación: 
21/09/2017
Descripción:  
*** Pendiente de traducción *** GetNextToken in MagickCore/token.c in ImageMagick 7.0.6 allows remote attackers to cause a denial of service (heap-based buffer overflow and application crash) or possibly have unspecified other impact via a crafted SVG document, a different vulnerability than CVE-2017-10928.

CVE-2017-14680

Gravedad: 
Sin asignar
Fecha publicación : 
21/09/2017
Última modificación: 
21/09/2017
Descripción:  
*** Pendiente de traducción *** ZKTeco ZKTime Web 2.0.1.12280 allows remote attackers to obtain sensitive employee metadata via a direct request for a PDF document.

CVE-2017-9281

Gravedad: 
Sin asignar
Fecha publicación : 
21/09/2017
Última modificación: 
21/09/2017
Descripción:  
*** Pendiente de traducción *** An integer overflow (CWE-190) potentially causing an out-of-bounds read (CWE-125) vulnerability in Micro Focus VisiBroker 8.5 can lead to a denial of service.

CVE-2017-9282

Gravedad: 
Sin asignar
Fecha publicación : 
21/09/2017
Última modificación: 
21/09/2017
Descripción:  
*** Pendiente de traducción *** An integer overflow (CWE-190) led to an out-of-bounds write (CWE-787) on a heap-allocated area, leading to heap corruption in Micro Focus VisiBroker 8.5. The feasibility of leveraging this vulnerability for further attacks was not assessed.

CVE-2017-9283

Gravedad: 
Sin asignar
Fecha publicación : 
21/09/2017
Última modificación: 
21/09/2017
Descripción:  
*** Pendiente de traducción *** An out-of-bounds read (CWE-125) vulnerability exists in Micro Focus VisiBroker 8.5. The feasibility of leveraging this vulnerability for further attacks was not assessed.

CVE-2017-7544

Gravedad: 
Sin asignar
Fecha publicación : 
21/09/2017
Última modificación: 
21/09/2017
Descripción:  
*** Pendiente de traducción *** libexif through 0.6.21 is vulnerable to out-of-bounds heap read vulnerability in exif_data_save_data_entry function in libexif/exif-data.c caused by improper length computation of the allocated data of an ExifMnote entry which can cause denial-of-service or possibly information disclosure.

CVE-2017-7549

Gravedad: 
Sin asignar
Fecha publicación : 
21/09/2017
Última modificación: 
21/09/2017
Descripción:  
*** Pendiente de traducción *** A flaw was found in instack-undercloud 7.2.0 as packaged in Red Hat OpenStack Platform Pike, 6.1.0 as packaged in Red Hat OpenStack Platform Oacta, 5.3.0 as packaged in Red Hat OpenStack Newton, where pre-install and security policy scripts used insecure temporary files. A local user could exploit this flaw to conduct a symbolic-link attack, allowing them to overwrite the contents of arbitrary files.

CVE-2017-12170

Gravedad: 
Sin asignar
Fecha publicación : 
21/09/2017
Última modificación: 
21/09/2017
Descripción:  
*** Pendiente de traducción *** Downstream version 1.0.46-1 of pure-ftpd as shipped in Fedora was vulnerable to packaging error due to which the original configuration was ignored after update and service started running with default configuration. This has security implications because of overriding security-related configuration. This issue doesn't affect upstream version of pure-ftpd.

Páginas