Avisos Tecnicos INTECO (España)

Syndicate content
Avisos y alertas de INCIBE es
Updated: 3 hours 57 min ago

CVE-2015-1424

Wed, 01/28/2015 - 21:00
*** Pendiente de traducción *** Cross-site request forgery (CSRF) vulnerability in Gecko CMS 2.2 and 2.3 allows remote attackers to hijack the authentication of administrators for requests that add an administrator user via a newuser request to admin/index.php. 2015-01-28T23:00:00Z
Categories: Alertas

CVE-2015-1423

Wed, 01/28/2015 - 21:00
*** Pendiente de traducción *** Multiple SQL injection vulnerabilities in Gecko CMS 2.2 and 2.3 allow remote administrators to execute arbitrary SQL commands via the (1) jak_delete_log[] or (2) ssp parameter to admin/index.php. 2015-01-28T23:00:00Z
Categories: Alertas

CVE-2015-1422

Wed, 01/28/2015 - 21:00
*** Pendiente de traducción *** Multiple cross-site scripting (XSS) vulnerabilities in Gecko CMS 2.2 and 2.3 allow remote attackers to inject arbitrary web script or HTML via the (1) horder[], (2) jak_catid, (3) jak_content, (4) jak_css, (5) jak_delete_log[], (6) jak_email, (7) jak_extfile, (8) jak_file, (9) jak_hookshow[], (10) jak_img, (11) jak_javascript, (12) jak_lcontent, (13) jak_name, (14) jak_password, (15) jak_showcontact, (16) jak_tags, (17) jak_title, (18) jak_url, (19) jak_username, (20) real_hook_id[], (21) sp, (22) sreal_plugin_id[], (23) ssp, or (24) sssp parameter to admin/index.php or the (25) editor, (26) field_id, (27) fldr, (28) lang, (29) popup, (30) subfolder, or (31) type parameter to js/editor/plugins/filemanager/dialog.php. 2015-01-28T23:00:00Z
Categories: Alertas

CVE-2015-1044

Wed, 01/28/2015 - 21:00
*** Pendiente de traducción *** vmware-authd (aka the Authorization process) in VMware Workstation 10.x before 10.0.5, VMware Player 6.x before 6.0.5, and VMware ESXi 5.0 through 5.5 allows attackers to cause a host OS denial of service via unspecified vectors. 2015-01-28T23:00:00Z
Categories: Alertas

CVE-2015-1043

Wed, 01/28/2015 - 21:00
*** Pendiente de traducción *** The Host Guest File System (HGFS) in VMware Workstation 10.x before 10.0.5, VMware Player 6.x before 6.0.5, and VMware Fusion 6.x before 6.0.5 and 7.x before 7.0.1 allows guest OS users to cause a guest OS denial of service via unspecified vectors. 2015-01-28T23:00:00Z
Categories: Alertas

CVE-2015-0236

Wed, 01/28/2015 - 21:00
*** Pendiente de traducción *** libvirt before 1.2.12 allow remote authenticated users to obtain the VNC password by using the VIR_DOMAIN_XML_SECURE flag with a crafted (1) snapshot to the virDomainSnapshotGetXMLDesc interface or (2) image to the virDomainSaveImageGetXMLDesc interface. 2015-01-28T23:00:00Z
Categories: Alertas

CVE-2014-8370

Wed, 01/28/2015 - 21:00
*** Pendiente de traducción *** VMware Workstation 10.x before 10.0.5, VMware Player 6.x before 6.0.5, VMware Fusion 6.x before 6.0.5, and VMware ESXi 5.0 through 5.5 allow host OS users to gain host OS privileges or cause a denial of service (arbitrary write to a file) by modifying a configuration file. 2015-01-28T23:00:00Z
Categories: Alertas

vsftp (CVE-2015-1419)

Tue, 01/27/2015 - 21:00
Vulnerabilidad no especificada en vsftp 3.0.2 y anteriores permite a atacantes remotos evadir las restricciones de acceso a través de vectores desconocidos, relacionado con el análisis sintáctico deny_file. 2015-01-27T23:00:00Z
Categories: Alertas

pixabay-images.php en el plugin Pixabay Images para WordPress (CVE-2015-1376)

Tue, 01/27/2015 - 21:00
pixabay-images.php en el plugin Pixabay Images anterior a 2.4 para WordPress no valida los nombres de anfitriones, lo que permite a usuarios remotos autenticados escribir a ficheros arbitrarios a través de una URL de subida con un anfitrión distinto al pixabay.com. 2015-01-27T23:00:00Z
Categories: Alertas

pixabay-images.php en el plugin Pixabay Images para WordPress (CVE-2015-1375)

Tue, 01/27/2015 - 21:00
pixabay-images.php en el plugin Pixabay Images anterior a 2.4 para WordPress no restringe correctamente el acceso a la funcionalidad de subida, lo que permite a atacantes remotos escribir a ficheros arbitrarios. 2015-01-27T23:00:00Z
Categories: Alertas

la implementación del protocolo Network-Based Application Recognition en Cisco IOS (CVE-2015-0586)

Tue, 01/27/2015 - 21:00
La implementación del protocolo Network-Based Application Recognition (NBAR) en Cisco IOS 15.3(100)M y anteriores en los dispositivos de Cisco 2900 Integrated Services Router (también conocido como Cisco Internet Router) permite a atacantes remotos causar una denegación de servicio (cuelgue de los procesos de NBAR) a través de paquetes IPv4, también conocido como Bug ID CSCuo73682. 2015-01-27T23:00:00Z
Categories: Alertas

el análisis sintáctico de XML en Cisco Prime Service Catalog (CVE-2015-0581)

Tue, 01/27/2015 - 21:00
El análisis sintáctico de XML en Cisco Prime Service Catalog anterior a 10.1 permite a usuarios remotos autenticados leer ficheros arbitrarios o causar una denegación de servicio (consumo de CPU y memoria) a través de una declaración de entidad externa en conjunto con una referencia de entidad, tal y como fue demostrado por la lectura de claves privadas, relacionado con un problema de entidad externa XML (XXE), también conocido como Bug ID CSCup92880. 2015-01-27T23:00:00Z
Categories: Alertas

Adobe Flash Player (CVE-2015-0312)

Tue, 01/27/2015 - 21:00
Vulnerabilidad de doble liberación en Adobe Flash Player anterior a 13.0.0.264 y 14.x hasta 16.x anterior a 16.0.0.296 en Windows y OS X y anterior a 11.2.202.440 en Linux permite a atacantes ejecutar código arbitrario a través de vectores no especificados. 2015-01-27T23:00:00Z
Categories: Alertas

la función __nss_hostname_digits_dots en glibc (CVE-2015-0235)

Tue, 01/27/2015 - 21:00
Desbordamiento de buffer basado en memoria dinámica en la función __nss_hostname_digits_dots en glibc 2.2, y otras versiones 2.x anteriores a 2.18, permite a atacantes dependientes de contexto ejecutar código arbitrario a través de vectores relacionados con la funciín (1) gethostbyname o (2) gethostbyname2, también conocido como "GHOST." 2015-01-27T23:00:00Z
Categories: Alertas

el programa de la transferencia de datos en (Data Transfer Program) in IBM i Access (CVE-2014-8920)

Tue, 01/27/2015 - 21:00
Desbordamiento de buffer en el programa de la transferencia de datos en (Data Transfer Program) in IBM i Access 5770-XE1 5R4, 6.1, y 7.1 en Windows permite a usuarios locales ganar privilegios a través de vectores no especificados. 2015-01-27T23:00:00Z
Categories: Alertas

CVE-2015-1374

Mon, 01/26/2015 - 21:00
*** Pendiente de traducción *** Multiple cross-site request forgery (CSRF) vulnerabilities in admin.php in ferretCMS 1.0.4-alpha allow remote attackers to hijack the authentication of administrators for requests that conduct (1) cross-site scripting (XSS), (2) SQL injection, or (3) unrestricted file upload attacks. 2015-01-26T23:00:00Z
Categories: Alertas

CVE-2015-1373

Mon, 01/26/2015 - 21:00
*** Pendiente de traducción *** Multiple cross-site scripting (XSS) vulnerabilities in admin.php in ferretCMS 1.0.4-alpha allow remote attackers to inject arbitrary web script or HTML via the (1) action parameter in a search request, (2) username in a login request, which is not properly handled when logging the event, or (3) page title in an insert action. 2015-01-26T23:00:00Z
Categories: Alertas

CVE-2015-1372

Mon, 01/26/2015 - 21:00
*** Pendiente de traducción *** SQL injection vulnerability in ferretCMS 1.0.4-alpha allows remote attackers to execute arbitrary SQL commands via the p parameter in an update action to admin.php. 2015-01-26T23:00:00Z
Categories: Alertas

CVE-2015-1371

Mon, 01/26/2015 - 21:00
*** Pendiente de traducción *** Unrestricted file upload vulnerability in ferretCMS 1.0.4-alpha allows remote administrators to execute arbitrary code by uploading a file with an executable extension, then accessing it via a direct request to the file in custom/uploads/. 2015-01-26T23:00:00Z
Categories: Alertas

CVE-2015-1370

Mon, 01/26/2015 - 21:00
*** Pendiente de traducción *** Incomplete blacklist vulnerability in marked 0.3.2 and earlier for Node.js allows remote attackers to conduct cross-site scripting (XSS) attacks via a vbscript tag in a link. 2015-01-26T23:00:00Z
Categories: Alertas