Alertas de seguridad

Vulnerabilidad en Microsoft SQL Server Reporting Services

Microsoft SQL Server es una solución que brinda Microsoft para la gestión de base de datos, este cuenta con distintas ediciones y servicios las cuales son: Enterprise, Developer, Standard, Express y SQL Azure, cada una de estas versiones se ajusta a la necesidad que cada compañía requiera; a esto se suma que es una plataforma de datos flexible y brinda una experiencia uniforme en todas las plataformas, adicionalmente, la plataforma de datos de Microsoft trae inteligencia artificial, lo que facilita la obtención de datos sobre la empresa y sus clientes, esto se desarrolla con un aprendizaje automático sobre los motores de la base de datos.

Vulnerabilidad de suplantación de identidad en línea de Microsoft Office

Existe una vulnerabilidad de suplantación de identidad cuando Office Online no valida el origen en las comunicaciones entre orígenes correctos. Un atacante podría aprovechar la vulnerabilidad enviando una solicitud especialmente diseñada a un sitio afectado.

Vulnerabilidades en Trend Micro Deep Security Manager

Trend Micro ha lanzado nuevos parches para Trend Micro Deep Security Manager y Trend Micro Vulnerability Protection. Estos parches resuelven dos problemas de seguridad que, en determinadas circunstancias, podrían afectar la confidencialidad, integridad y disponibilidad de la consola de administración.

Los dispositivos codificadores de IPTV contienen múltiples vulnerabilidades

Recursos afectados

  • Acceso administrativo completo mediante contraseña de puerta trasera (CVE-2020-24215)
  • Acceso de raíz administrativa mediante contraseña de puerta trasera (CVE-2020-24218)
  • Archivo arbitrario leído a través de recorrido de ruta (CVE-2020-24219)
  • Carga de archivos no autenticados (CVE-2020-24217)
  • Ejecución de código arbitrario mediante la carga de firmware malicioso (CVE-2020-24217)
  • Ejecución de código arbitrario mediante inyección de comando (CVE-2020-24217)
  • Denegación de servicio por desbordamiento de búfer (CVE-2020-24214)
  • Acceso no autorizado a la transmisión de video a través de RTSP (CVE-2020-24216)

Vulnerabilidades en Citrix Workspace app y Receiver para Windows

La aplicación Citrix Workspace se puede utilizar en PC, tabletas y clientes ligeros unidos a un dominio o no. Proporciona un uso de alto rendimiento de Skype for Business virtualizado, línea de negocio y aplicaciones de ingeniería HDX 3D Pro, multimedia y acceso a aplicaciones locales.

Vulnerabilidad de ejecución remota de código en Microsoft Excel

Existe una vulnerabilidad de ejecución remota de código en el software Microsoft Excel cuando el software no maneja correctamente los objetos en la memoria.

Vulnerabilidad en el plugin Jenkins Git Parameter

Durante la primera semana de septiembre fue descubierta una vulnerabilidad en el plugin Jenkins Git Parameter en versiones 0.9.12 y anteriores. La vulnerabilidad se presenta debido a que no existe un control de entrada adecuado en el parámetro repository del módulo "Build with Parameters", resultando que un atacante o usuario con permisos de Job/Configure pueda utilizar un cross-site scripting (XSS) almacenado.

Inyección de código en VMware Cloud Director

Para explotar esta vulnerabilidad, un atacante debe poder enviar mensajes XMPP a los sistemas del usuario final que ejecutan el Jabber de Cisco para Windows. Los atacantes pueden requerir acceso al mismo dominio XMPP u otro método de acceso para poder enviar mensajes a los clientes.

Problemas borrando estructuras de datos

Existe un problema de confusión de tipos al momento de intentar resolver las propiedades de los objetos JavaScript con cadenas de prototipos specially-crafted en Facebook Hermes antes de confirmar fe52854cdf6725c2eaa9e125995da76e6ceb27da, permitiendo a usuarios maliciosos ejecutar potencialmente código arbitrario JavaScript a través de crafted.

Vulnerabilidad para Cisco Video Surveillance 8000 Series

Es una vulnerabilidad encontrada para paquetes determinados de Cisco Discovery Protocol (CDP) de las cámaras IP-Cisco Video Surveillance 8000 Series, donde un atacante no autenticado en la red puede enviar algunos paquetes específicos para generar una entrada desconocida y explotar la falla presente en la memoria, para desencadenar un ataque de denegación de servicio (DoS).