Vulnerabilidades GRAVES relacionadas con Wordpress y Joomla
CVE-2012-6692
Plugin WordPress SEO by Yoast: Vulnerabilidad de XSS en js/wp-seo-metabox.js en el plugin WordPress SEO by Yoast anterior a 2.2 para WordPress permite a atacantes remotos inyectar secuencias de comandos web arbitrarios o HTML a través del parámetro post_title en wp-admin/post-new.php, lo cual no se maneja correctamente en la funcionalidad de la previsualización de recortes (snippets).Versiones afectadas Yoast Wordpress Seo 2.1.1
CVE-2015-4654
Componente EQ Event Calendar para Joomla: Vulnerabilidad de inyección SQL en el componente EQ Event Calendar para Joomla! permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro id en eqfullevent.Versiones afectadas Joomla
Vulnerabilidades GRAVES relacionadas con software utilizadas habitualmente por los usuarios
CVE-2015-3112, CVE-2015-3111, CVE-2015-3110, CVE-2015-3009
Adobe Photoshop CC y Adobe Bridge CC: Desbordamiento de buffer basado en memoria dinámica. Desbordamiento de enteros. Permite a atacantes ejecutar código arbitrario o causar una denegación de servicioVersiones afectadas Adobe Photoshop Cc 15.2.2, Adobe Bridge 6.1
CVE-2015-3113
Adobe Flash Player: Desbordamiento de buffer basado en memoria dinámica en Adobe Flash Player anterior a 13.0.0.296 y 14.x hasta 18.x anterior a 18.0.0.194 en Windows y OS X y anterior a 11.2.202.468 en Linux permite a atacantes remotos ejecutar código arbitrarioVersiones afectadas Adobe Flash Player 18.0.0.161, 17.0.0.188, 17.0.0.169, 17.0.0.134, 16.0.0.296, 16.0.0.287, 16.0.0.257, 16.0.0.235, 15.0.0.246, 15.0.0.239, 15.0.0.223, 15.0.0.189, 15.0.0.167, 15.0.0.152, 14.0.0.179, 14.0.0.176, 14.0.0.145, 14.0.0.125, 13.0.0.292, 11.2.202.466
Vulnerabilidades GRAVES relacionadas con Cisco
CVE-2015-4227
Pérdida de memoria en Cisco Headend System Release en la cabecera del sistema de lanzamiento permite a atacantes remotos provocar una denegación de servicio (consumo de memoria) a través de vectores no especificados, también conocido como Bug ID CSCus91838La vulnerabilidad se debe a la incapacidad del software para recuperar la memoria después de ciertos usos. Un atacante podría aprovechar esta vulnerabilidad mediante la explotación de uso de la memoria, lo que resulta en una condición de denegación de servicio.
CVE-2015-4199
Vulnerabilidad en la funcionalidad IPv6-to-IPv4 en Cisco IOS en los dispositivos UBR: Una vulnerabilidad en el IPv6 a IPv4 subsistema de Cisco IOS Software podría permitir a un atacante remoto no autenticado para desencadenar un Performance Motor de enrutamiento (PRE) accidente en un sistema objetivo, lo que resulta en una denegación de servicio (DoS) condición.Versiones vulnerables Cisco Ios 15.3s. Un atacante podría aprovechar esta vulnerabilidad mediante la presentación de contenidos diseñado para un dispositivo de destino diseñada para provocar una condición.
CVE-2015-4211
Cisco AnyConnect Secure Mobility Client en Windows: No valida correctamente los nombres de rutas, lo que permite a usuarios locales ganar privilegios a través de un fichero INF manipulado.Versiones afectadas Cisco Anyconnect Secure Mobility Client 3.1(60)
CVE-2015-4200
Vulnerabilidad en la funcionalidad IPv6-to-IPv4 en los dispositivos uBR10000: Fuga de memoria en la funcionalidad IPv6-to-IPv4 en IOS 15.3S en el módulo Performance Routing Engine (PRE) en los dispositivos uBR10000 permite a atacantes remotos causar una denegación de servicio mediante la provocación de un error durante la negociación CPEVersiones afectadas Cisco Ios 15.3(3)s, 15.3s
CVE-2015-4224
Vulnerabilidad en los dispositivos Cisco Wireless LAN Controller: Los dispositivos Cisco Wireless LAN Controller (WLC) con software 7.0(240.0) permiten a usuarios locales ejecutar comandos del sistema operativo arbitrarios en un contexto privilegiado a través de comandos CLI manipulados, también conocido como Bug ID CSCuj39474.La vulnerabilidad se debe a la validación de entrada insuficiente. Un atacante podría aprovechar esta vulnerabilidad mediante la autenticación del dispositivo y el envío de comandos hechos a mano a través de la CLI
Otros fallos de seguridad y vulnerabilidades GRAVES de otras aplicaciones
CVE-2015-1900
Vulnerabilidad en IBM InfoSphere DataStage en UNIX: Da la opción de escribir, modificar y grabar ficheros ejecutables y obtener privilegios root, a través de vectores no especificadosVersiones vulnerables de Ibm Infosphere Datastage 11.3.1.2, 11.3.1, 11.3, 9.1, 8.7, 8.5, 8.1.
CVE-2015-0545
Vulnerabilidad en EMC Unisphere for VMAX: Permite ejecutar el servicio Java Depuración Wire Protocol (JDWP), Lo Que permite un atacantes ejecutar código arbitrario Remoto a Través de Vectores no especificados.Versiones vulnerables de EMC Unisphere for VMAX 8.0.3, 8.0.2, 8.0.1, 8.0.0
CVE-2015-0550
EMC Documentum Thumbnail Server: Vulnerabilidad de salto de directorio en EMC Documentum Thumbnail Server 6.7SP1 anterior a P32, 6.7SP2 anterior a P25, 7.0 anterior a P19, 7.1 anterior a P16, y 7.2 anterior a P01 permite a atacantes remotos evadir las restricciones de acceso a Content Server a través de vectores no especificados.Versiones vulnerables de Emc Documentum Thumbnail Server 7.2, 7.1, 7.0, 6.7 Sp2, 6.7 Sp1
CVE-2015-1158
Vulnerabilidad en la función add_job en CUPS: La función add_job en scheduler/ipp.c en cupsd en CUPS anterior a 2.0.3 realiza incorrectamente las operaciones libres para los atributos de los nombres de anfitriones que originan trabajos de múltiples valores, lo que permite a atacantes remotos provocar la corrupción de datos para las cadenas de referencias contadas a través de una solicitud (1) IPP_CREATE_JOB o (2) IPP_PRINT_JOB manipulada, tal y como fue demostrado mediante el remplazo del fichero de configuración y como consecuencia la ejecución de código arbitrario.Versiones afectadas Cups Cups 2.0.2
CVE-2015-5068
SAP Mobile Platform 3: Fallo de seguridad en la entidad externa XML (XXE) en SAP Mobile Platform 3 permite a atacantes remotos leer ficheros arbitrarios o posiblemente tener acceso a través de una solicitud XML manipulada.Versiones afectadas Sap Mobile Platform 3.0
CVE-2015-4726
AudioShare: Vulnerabilidad de la inclusión remota de ficheros PHP en ajax/myajaxphp.php en AudioShare 2.0.2 permite a atacantes remotos ejecutar código PHP arbitrario a través de una URL en el parámetro config['basedir'].Versiones afectadas Audiosharescript Audioshare 2.0.2
CVE-2015-2860
Avigilon Control Center: Fallo de salto de directorio en Avigilon Control Center (ACC) 4 anterior a 4.12.0.54 y 5 anterior a 5.4.2.22 permite a atacantes remotos leer ficheros arbitrarios a través de una URL help/ manipulada.Versiones afectadas Avigilon Avigilon Control Center 5.4.2.21, 4.12.0.53
CVE-2014-4882
Aptexx Resident Anywhere: Aptexx Resident Anywhere no requiere autenticación, lo que permite a atacantes remotos obtener información sensible o modificar datos a través de una solicitud directaVersiones afectadas Aptexx Resident Anywhere
CVE-2015-4678
Persian Car CMS: Vulnerabilidad de inyección SQL en Persian Car CMS 1.0 permite a atacantes remotos ejecutar comandos SQL arbitrarios a través del parámetro cat_id en la URI por defecto.Versiones afectadas Persian Car Cms Project Persian Car Cms 1.0
CVE-2015-2797
Modems DSL AirTies Air: Desbordamiento de buffer basado en pila en los modems DSL AirTies Air 6372, 5760, 5750, 5650TT, 5453, 5444TT, 5443, 5442, 5343, 5342, 5341, y 5021 con firmware 1.0.2.0 y anteriores permite a atacantes remotos ejecutar código arbitrario a través de una cadena larga en el parámetro redirect en cgi-bin/login Versiones afectadas Airties Air Firmware 1.0.2.0
CVE-2015-2341
VMware Workstation, VMware Player y VMware Fusion: Permiten a atacantes causar una denegación de servicio sobre un sistema operativo invitado de 32 bits o sobre un sistema operativo anfitrión de 64 bits a través de un comando RPC manipuladoVersiones afectadas Vmware Workstation 10.0.4, 10.0.3, 10.0.2, 10.0.1, 10.0 Vmware Player 6.0.5, 6.0.4, 6.0.3, 6.0.2, 6.0.1, 6.0 Vmware Fusion 7.1.1, 7.1.0, 7.0.1, 7.0, 6.0.5, 6.0.4, 6.0.3, 6.0.2, 6.0.1, 6.0