Verificación insuficiente de la autenticidad de los datos en Syltek
Fecha de publicación: 14/03/2022
Importancia: 4 - Alta
Recursos afectados:
Syltek, versiones anteriores a la 10.22.00.
Descripción:
INCIBE ha coordinado la publicación de una vulnerabilidad en la aplicación Syltek, con el código interno INCIBE-2022-0648, que ha sido descubierta por Enrique Benvenutto Navarro.
A esta vulnerabilidad se le ha asignado el código CVE-2021-4031. Se ha calculado una puntuación base CVSS v3.1 de 7,5, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N.
Solución:
Esta vulnerabilidad ha sido resuelta por el equipo de Playtomic, en la versión 10.22.00, publicada el 02/12/2021.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/verificacion-insuficiente-autenticidad-los-datos-syltek
Fecha de publicación: 14/03/2022
Importancia: 4 - Alta
Recursos afectados:
Syltek, versiones anteriores a la 10.22.00.
Descripción:
INCIBE ha coordinado la publicación de una vulnerabilidad en la aplicación Syltek, con el código interno INCIBE-2022-0648, que ha sido descubierta por Enrique Benvenutto Navarro.
A esta vulnerabilidad se le ha asignado el código CVE-2021-4031. Se ha calculado una puntuación base CVSS v3.1 de 7,5, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N.
Solución:
Esta vulnerabilidad ha sido resuelta por el equipo de Playtomic, en la versión 10.22.00, publicada el 02/12/2021.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/verificacion-insuficiente-autenticidad-los-datos-syltek
INCIBE-CERT
Verificación insuficiente de la autenticidad de los datos en Syltek
INCIBE ha coordinado la publicación de una vulnerabilidad en la aplicación Syltek, con el código interno INCIBE-2022-0648, que ha sido descubierta por Enrique Benvenutto Navarro. A esta
High-Severity Vulnerabilities Patched in Omron PLC Programming Software.
Several high-severity vulnerabilities that can be exploited for remote code execution were patched recently in the CX-Programmer software of Japanese electronics giant Omron.
https://www.securityweek.com/high-severity-vulnerabilities-patched-omron-plc-programming-software
Several high-severity vulnerabilities that can be exploited for remote code execution were patched recently in the CX-Programmer software of Japanese electronics giant Omron.
https://www.securityweek.com/high-severity-vulnerabilities-patched-omron-plc-programming-software
Securityweek
High-Severity Vulnerabilities Patched in Omron PLC Programming Software | SecurityWeek.Com
Several high-severity vulnerabilities that can be exploited for arbitrary code execution have been patched in Omron’s CX-Programmer PLC programming software.
Microsoft is testing ads in the Windows 11 File Explorer
Microsoft has begun testing promotions for some of its other products in the File Explorer app on devices running its latest Windows 11 Insider build.
https://www.bleepingcomputer.com/news/microsoft/microsoft-is-testing-ads-in-the-windows-11-file-explorer/
Microsoft has begun testing promotions for some of its other products in the File Explorer app on devices running its latest Windows 11 Insider build.
https://www.bleepingcomputer.com/news/microsoft/microsoft-is-testing-ads-in-the-windows-11-file-explorer/
BleepingComputer
Microsoft is testing ads in the Windows 11 File Explorer
Microsoft has begun testing promotions for some of its other products in the File Explorer app on devices running its latest Windows 11 Insider build.
Múltiples vulnerabilidades en Apache HTTP Server
Fecha de publicación: 15/03/2022
Importancia: 4 - Alta
Recursos afectados:
Apache HTTP Server, versión 2.4.52 y anteriores.
Descripción:
Se han publicado cuatro vulnerabilidades en Apache HTTP Server, que podrían permitir a un atacante leer en una zona de memoria aleatoria, realizar contrabando de solicitudes (request smuggling) HTTP, hacer una escritura fuera de límites o sobrescribir la memoria de la pila.
Solución:
Actualizar a Apache HTTP Server 2.4.53.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-apache-http-server-1
Fecha de publicación: 15/03/2022
Importancia: 4 - Alta
Recursos afectados:
Apache HTTP Server, versión 2.4.52 y anteriores.
Descripción:
Se han publicado cuatro vulnerabilidades en Apache HTTP Server, que podrían permitir a un atacante leer en una zona de memoria aleatoria, realizar contrabando de solicitudes (request smuggling) HTTP, hacer una escritura fuera de límites o sobrescribir la memoria de la pila.
Solución:
Actualizar a Apache HTTP Server 2.4.53.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-apache-http-server-1
INCIBE-CERT
Múltiples vulnerabilidades en Apache HTTP Server
Se han publicado cuatro vulnerabilidades en Apache HTTP Server, que podrían permitir a un atacante leer en una zona de memoria aleatoria, realizar contrabando de solicitudes (request smuggling) HTTP,
CVE-2022-26500 | CVE-2022-26501
KB ID: 4288
Product: Veeam Backup & Replication | 9.5 | 10 | 11
Published: 2022-03-12
Last Modified: 2022-03-15
Challenge
Multiple vulnerabilities (CVE-2022-26500, CVE-2022-26501) in Veeam Backup & Replication allow executing malicious code remotely without authentication. This may lead to gaining control over the target system.
Severity: Critical - score: 9.8
Cause
The Veeam Distribution Service (TCP 9380 by default) allows unauthenticated users to access internal API functions. A remote attacker may send input to the internal API which may lead to uploading and executing of malicious code.
https://www.veeam.com/kb4288
KB ID: 4288
Product: Veeam Backup & Replication | 9.5 | 10 | 11
Published: 2022-03-12
Last Modified: 2022-03-15
Challenge
Multiple vulnerabilities (CVE-2022-26500, CVE-2022-26501) in Veeam Backup & Replication allow executing malicious code remotely without authentication. This may lead to gaining control over the target system.
Severity: Critical - score: 9.8
Cause
The Veeam Distribution Service (TCP 9380 by default) allows unauthenticated users to access internal API functions. A remote attacker may send input to the internal API which may lead to uploading and executing of malicious code.
https://www.veeam.com/kb4288
Limitación incorrecta de la ruta a un directorio restringido en TIBCO JasperReports Library
Fecha de publicación: 16/03/2022
Importancia: 5 - Crítica
Recursos afectados:
TIBCO JasperReports Library:
versión 7.9.0;
para ActiveMatrix BPM, versión 7.9.0.
TIBCO JasperReports Server:
versiones 7.9.0 and 7.9.1;
para AWS Marketplace, versiones 7.9.0 y 7.9.1;
para ActiveMatrix BPM, versiones 7.9.0 y 7.9.1;
para Microsoft Azure, versión 7.9.1.
Componente Server.
Descripción:
Se ha identificado una vulnerabilidad crítica de limitación incorrecta de la ruta a un directorio restringido (directory traversal) que podría permitir a los usuarios del servidor web acceder al contenido del sistema host.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/limitacion-incorrecta-ruta-directorio-restringido-tibco
Fecha de publicación: 16/03/2022
Importancia: 5 - Crítica
Recursos afectados:
TIBCO JasperReports Library:
versión 7.9.0;
para ActiveMatrix BPM, versión 7.9.0.
TIBCO JasperReports Server:
versiones 7.9.0 and 7.9.1;
para AWS Marketplace, versiones 7.9.0 y 7.9.1;
para ActiveMatrix BPM, versiones 7.9.0 y 7.9.1;
para Microsoft Azure, versión 7.9.1.
Componente Server.
Descripción:
Se ha identificado una vulnerabilidad crítica de limitación incorrecta de la ruta a un directorio restringido (directory traversal) que podría permitir a los usuarios del servidor web acceder al contenido del sistema host.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/limitacion-incorrecta-ruta-directorio-restringido-tibco
INCIBE-CERT
Limitación incorrecta de la ruta a un directorio restringido en TIBCO
Se ha identificado una vulnerabilidad crítica de limitación incorrecta de la ruta a un directorio restringido (directory traversal) que podría permitir a los usuarios del servidor web acceder al
Bucle infinito en OpenSSL
Fecha de publicación: 16/03/2022
Importancia: 4 - Alta
Recursos afectados:
OpenSSL, versiones 1.0.2, 1.1.1 y 3.0. Las situaciones vulnerables incluyen:
clientes TLS que consumen certificados de servidor;
servidores TLS que consumen certificados de clientes;
proveedores de alojamiento que recogen certificados o claves privadas de los clientes;
autoridades de certificación que analizan las solicitudes de certificación de los suscriptores;
cualquier otra cosa que analice parámetros de curva elíptica ASN.1.
Descripción:
Tavis Ormandy, de Google, ha reportado a OpenSSL una vulnerabilidad de severidad alta por la que un error podría provocar un bucle infinito.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/bucle-infinito-openssl
Fecha de publicación: 16/03/2022
Importancia: 4 - Alta
Recursos afectados:
OpenSSL, versiones 1.0.2, 1.1.1 y 3.0. Las situaciones vulnerables incluyen:
clientes TLS que consumen certificados de servidor;
servidores TLS que consumen certificados de clientes;
proveedores de alojamiento que recogen certificados o claves privadas de los clientes;
autoridades de certificación que analizan las solicitudes de certificación de los suscriptores;
cualquier otra cosa que analice parámetros de curva elíptica ASN.1.
Descripción:
Tavis Ormandy, de Google, ha reportado a OpenSSL una vulnerabilidad de severidad alta por la que un error podría provocar un bucle infinito.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/bucle-infinito-openssl
INCIBE-CERT
Bucle infinito en OpenSSL
Tavis Ormandy, de Google, ha reportado a OpenSSL una vulnerabilidad de severidad alta por la que un error podría provocar un bucle infinito.
Apple Releases Security Updates for Multiple Products
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/16/apple-releases-security-updates-multiple-products
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/16/apple-releases-security-updates-multiple-products
www.cisa.gov
Apple Releases Security Updates for Multiple Products | CISA
Apple has released security updates to address vulnerabilities in multiple products. An attacker could exploit some of these vulnerabilities to take control of an affected system. CISA encourages users and administrators to review the Apple security page…
Node.js security: Parse Server remote code execution vulnerability resolved.
https://portswigger.net/daily-swig/node-js-security-parse-server-remote-code-execution-vulnerability-resolved
https://portswigger.net/daily-swig/node-js-security-parse-server-remote-code-execution-vulnerability-resolved
The Daily Swig | Cybersecurity news and views
Node.js security: Parse Server remote code execution vulnerability resolved
GitHub has awarded the bug a severity score of 10 – the highest available
[Actualización 17/03/2022] Bucle infinito en OpenSSL
Fecha de publicación: 16/03/2022
Importancia: 4 - Alta
Recursos afectados:
OpenSSL, versiones 1.0.2, 1.1.1 y 3.0. Las situaciones vulnerables incluyen:
clientes TLS que consumen certificados de servidor;
servidores TLS que consumen certificados de clientes;
proveedores de alojamiento que recogen certificados o claves privadas de los clientes;
autoridades de certificación que analizan las solicitudes de certificación de los suscriptores;
cualquier otra cosa que analice parámetros de curva elíptica ASN.1.
[Actualización 17/03/2022] LibreSSL, versiones anteriores a 3.3.6, 3.4.3 y 3.5.1.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/bucle-infinito-openssl
Fecha de publicación: 16/03/2022
Importancia: 4 - Alta
Recursos afectados:
OpenSSL, versiones 1.0.2, 1.1.1 y 3.0. Las situaciones vulnerables incluyen:
clientes TLS que consumen certificados de servidor;
servidores TLS que consumen certificados de clientes;
proveedores de alojamiento que recogen certificados o claves privadas de los clientes;
autoridades de certificación que analizan las solicitudes de certificación de los suscriptores;
cualquier otra cosa que analice parámetros de curva elíptica ASN.1.
[Actualización 17/03/2022] LibreSSL, versiones anteriores a 3.3.6, 3.4.3 y 3.5.1.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/bucle-infinito-openssl
INCIBE-CERT
Bucle infinito en OpenSSL
Tavis Ormandy, de Google, ha reportado a OpenSSL una vulnerabilidad de severidad alta por la que un error podría provocar un bucle infinito.
Múltiples vulnerabilidades en BIND
Fecha de publicación: 17/03/2022
Importancia: 4 - Alta
Recursos afectados:
BIND, versiones:
desde 9.11.0, hasta 9.11.36;
desde 9.12.0, hasta 9.16.26;
desde 9.16.11, hasta 9.16.26;
desde 9.17.0, hasta 9.18.0.
BIND Supported Preview Editions, versiones:
desde 9.11.4-S1, hasta 9.11.36-S1;
desde 9.16.8-S1, hasta 9.16.26-S1;
desde 9.16.11-S1 hasta 9.16.26-S1.
Las versiones de BIND 9 anteriores también están afectadas, pero no han sido probadas ya que se consideran en su fin de vida útil.
Descripción:
Se han publicado 3 vulnerabilidades, 1 de severidad alta y 2 medias, que podrían permitir a un atacante finalizar el proceso named, enviar información falsa a los clientes o hacer que las conexiones a BIND permanezcan en estado CLOSE_WAIT durante un periodo de tiempo indefinido, incluso después de que el cliente haya finalizado la conexión.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-bind-2
Fecha de publicación: 17/03/2022
Importancia: 4 - Alta
Recursos afectados:
BIND, versiones:
desde 9.11.0, hasta 9.11.36;
desde 9.12.0, hasta 9.16.26;
desde 9.16.11, hasta 9.16.26;
desde 9.17.0, hasta 9.18.0.
BIND Supported Preview Editions, versiones:
desde 9.11.4-S1, hasta 9.11.36-S1;
desde 9.16.8-S1, hasta 9.16.26-S1;
desde 9.16.11-S1 hasta 9.16.26-S1.
Las versiones de BIND 9 anteriores también están afectadas, pero no han sido probadas ya que se consideran en su fin de vida útil.
Descripción:
Se han publicado 3 vulnerabilidades, 1 de severidad alta y 2 medias, que podrían permitir a un atacante finalizar el proceso named, enviar información falsa a los clientes o hacer que las conexiones a BIND permanezcan en estado CLOSE_WAIT durante un periodo de tiempo indefinido, incluso después de que el cliente haya finalizado la conexión.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-bind-2
INCIBE-CERT
Múltiples vulnerabilidades en BIND
Se han publicado 3 vulnerabilidades, 1 de severidad alta y 2 medias, que podrían permitir a un atacante finalizar el proceso named, enviar información falsa a los clientes o hacer que las conexiones
Múltiples vulnerabilidades en el core de Drupal
Fecha de publicación: 17/03/2022
Importancia: 3 - Media
Recursos afectados:
Drupal, versiones anteriores a la 9.3.8 y 9.2.15.
Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.
Descripción:
Se han publicado dos vulnerabilidades de severidad media, que podrían afectar al core de Drupal.
Solución:
Actualizar:
Drupal 9.3 a la versión 9.3.8;
Drupal 9.2 a la versión 9.2.15.
incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-4
Fecha de publicación: 17/03/2022
Importancia: 3 - Media
Recursos afectados:
Drupal, versiones anteriores a la 9.3.8 y 9.2.15.
Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.
Descripción:
Se han publicado dos vulnerabilidades de severidad media, que podrían afectar al core de Drupal.
Solución:
Actualizar:
Drupal 9.3 a la versión 9.3.8;
Drupal 9.2 a la versión 9.2.15.
incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-el-core-drupal-4
INCIBE-CERT
Múltiples vulnerabilidades en el core de Drupal
Se han publicado dos vulnerabilidades de severidad media, que podrían afectar al core de Drupal.
CRI-O Security Update for Kubernetes
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/18/cri-o-security-update-kubernetes
https://www.cisa.gov/uscert/ncas/current-activity/2022/03/18/cri-o-security-update-kubernetes
www.cisa.gov
CRI-O Security Update for Kubernetes | CISA
CRI-O has released a security update addressing a critical vulnerability—CVE-2022-0811—in CRI-O 1.19. A local attacker could exploit this vulnerability to take control of an affected Kubernetes environment as well as other software or platforms that use CRI…
New Phishing toolkit lets anyone create fake Chrome browser windows.
A phishing kit has been released that allows red teamers and wannabe cybercriminals to create effective single sign-on phishing login forms using fake Chrome browser windows.
https://www.bleepingcomputer.com/news/security/new-phishing-toolkit-lets-anyone-create-fake-chrome-browser-windows/
A phishing kit has been released that allows red teamers and wannabe cybercriminals to create effective single sign-on phishing login forms using fake Chrome browser windows.
https://www.bleepingcomputer.com/news/security/new-phishing-toolkit-lets-anyone-create-fake-chrome-browser-windows/
BleepingComputer
New Phishing toolkit lets anyone create fake Chrome browser windows
A phishing kit has been released that allows red teamers and wannabe cybercriminals to create effective single sign-on phishing login forms using fake Chrome browser windows.
Múltiples vulnerabilidades en Moodle
Fecha de publicación: 21/03/2022
Importancia: Crítica
Recursos afectados
Versiones:
de la 3.11 a la 3.11.5;
de la 3.10 a la 3.10.9;
de la 3.9 a la 3.9.12;
versiones anteriores no soportadas.
Descripción
Los investigadores Chris Pratt, Andrew Lyons y Sara Arjona han reportado 5 vulnerabilidades: 1 de severidad crítica y 4 bajas, por las que un atacante podría realizar una inyección SQL, borrar cuentas de usuario, configurar las insignias de los cursos con los criterios de los campos del perfil y explotar vulnerabilidades en las librerías PHPMailer y CKEditor.
Solución
Actualizar a las versiones 3.11.6, 3.10.10 y 3.9.13, respectivamente.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-19
Fecha de publicación: 21/03/2022
Importancia: Crítica
Recursos afectados
Versiones:
de la 3.11 a la 3.11.5;
de la 3.10 a la 3.10.9;
de la 3.9 a la 3.9.12;
versiones anteriores no soportadas.
Descripción
Los investigadores Chris Pratt, Andrew Lyons y Sara Arjona han reportado 5 vulnerabilidades: 1 de severidad crítica y 4 bajas, por las que un atacante podría realizar una inyección SQL, borrar cuentas de usuario, configurar las insignias de los cursos con los criterios de los campos del perfil y explotar vulnerabilidades en las librerías PHPMailer y CKEditor.
Solución
Actualizar a las versiones 3.11.6, 3.10.10 y 3.9.13, respectivamente.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-19
INCIBE-CERT
Múltiples vulnerabilidades en Moodle
Los investigadores Chris Pratt, Andrew Lyons y Sara Arjona han reportado 5 vulnerabilidades: 1 de severidad crítica y 4 bajas, por las que un atacante podría realizar una inyección SQL, borrar
Validación incorrecta de entrada en el core de Drupal
Fecha de publicación: 22/03/2022
Importancia: 3 - Media
Recursos afectados:
Drupal, versiones anteriores a la 9.3.9 y 9.2.16.
Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.
Descripción:
Jeroen Tubex y Damien McKenna, investigadores de Drupal, han notificado una vulnerabilidad de severidad media, que podría afectar al core de Drupal.
Solución:
Actualizar:
Drupal 9.3, a la versión 9.3.9;
Drupal 9.2, a la versión 9.2.16.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/validacion-incorrecta-entrada-el-core-drupal
Fecha de publicación: 22/03/2022
Importancia: 3 - Media
Recursos afectados:
Drupal, versiones anteriores a la 9.3.9 y 9.2.16.
Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.
Descripción:
Jeroen Tubex y Damien McKenna, investigadores de Drupal, han notificado una vulnerabilidad de severidad media, que podría afectar al core de Drupal.
Solución:
Actualizar:
Drupal 9.3, a la versión 9.3.9;
Drupal 9.2, a la versión 9.2.16.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/validacion-incorrecta-entrada-el-core-drupal
INCIBE-CERT
Validación incorrecta de entrada en el core de Drupal
Jeroen Tubex y Damien McKenna, investigadores de Drupal, han notificado una vulnerabilidad de severidad media, que podría afectar al core de Drupal.
Múltiples vulnerabilidades en productos HP
Fecha de publicación: 22/03/2022
Importancia: 5 - Crítica
Recursos afectados:
El listado completo de productos HP afectados puede localizarse en la sección Affected products de cada aviso del fabricante.
Descripción:
El equipo ZDI de Trend Micro ha reportado 4 vulnerabilidades, 3 de severidad crítica y 1 alta, que podrían permitir a un atacante remoto ejecutar código, provocar un desbordamiento de búfer, divulgar información o crear una condición de denegación de servicio.
Solución:
Actualizar el firmware de los productos afectados, instalando las versiones listadas en la columna Updated Firmware Version de cada aviso del fabricante, desde el centro de descargas de HP.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-hp-1
Fecha de publicación: 22/03/2022
Importancia: 5 - Crítica
Recursos afectados:
El listado completo de productos HP afectados puede localizarse en la sección Affected products de cada aviso del fabricante.
Descripción:
El equipo ZDI de Trend Micro ha reportado 4 vulnerabilidades, 3 de severidad crítica y 1 alta, que podrían permitir a un atacante remoto ejecutar código, provocar un desbordamiento de búfer, divulgar información o crear una condición de denegación de servicio.
Solución:
Actualizar el firmware de los productos afectados, instalando las versiones listadas en la columna Updated Firmware Version de cada aviso del fabricante, desde el centro de descargas de HP.
https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-hp-1
INCIBE-CERT
Múltiples vulnerabilidades en productos HP
El equipo ZDI de Trend Micro ha reportado 4 vulnerabilidades, 3 de severidad crítica y 1 alta, que podrían permitir a un atacante remoto ejecutar código, provocar un desbordamiento de búfer, divulgar
Advisory ID: VMSA-2022-0008
CVSSv3 Range: 9.1
Issue Date: 2022-03-23
CVE(s): CVE-2022-22951, CVE-2022-22952
Synopsis:
VMware Carbon Black App Control update addresses multiple vulnerabilities (CVE-2022-22951, CVE-2022-22952)
Impacted Products
VMware Carbon Black App Control (AppC)
Introduction
Multiple vulnerabilities in VMware Carbon Black App Control were privately reported to VMware. Updates are available to remediate these vulnerabilities in affected VMware products.
https://www.vmware.com/security/advisories/VMSA-2022-0008.html
CVSSv3 Range: 9.1
Issue Date: 2022-03-23
CVE(s): CVE-2022-22951, CVE-2022-22952
Synopsis:
VMware Carbon Black App Control update addresses multiple vulnerabilities (CVE-2022-22951, CVE-2022-22952)
Impacted Products
VMware Carbon Black App Control (AppC)
Introduction
Multiple vulnerabilities in VMware Carbon Black App Control were privately reported to VMware. Updates are available to remediate these vulnerabilities in affected VMware products.
https://www.vmware.com/security/advisories/VMSA-2022-0008.html
VMware
VMSA-2022-0008
VMware Carbon Black App Control update addresses multiple vulnerabilities (CVE-2022-22951, CVE-2022-22952)
DSA-2022-053: Dell Client Platform Security Update for Multiple SMM Vulnerabilities
https://www.dell.com/support/kbdoc/es-mx/000197057/dsa-2022-053
https://www.dell.com/support/kbdoc/es-mx/000197057/dsa-2022-053
Dell
DSA-2022-053: Dell Client Platform Security Update for Multiple SMM Vulnerabilities | Dell Nederland
Dell Client Consumer and Commercial platform remediation is available for multiple SMM vulnerabilities that may potentially be exploited by malicious users to compromise the affected system.
Hundreds of HP printer models vulnerable to remote code execution
HP has published security advisories for three critical-severity vulnerabilities affecting hundreds of its LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format, and DeskJet printer models.
The first security bulletin warns about about a buffer overflow flaw that could lead to remote code execution on the affected machine. Tracked as CVE-2022-3942, the security issue was reported by Trend Micro’s Zero Day Initiative team.
https://www.bleepingcomputer.com/news/security/hundreds-of-hp-printer-models-vulnerable-to-remote-code-execution/
HP has published security advisories for three critical-severity vulnerabilities affecting hundreds of its LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format, and DeskJet printer models.
The first security bulletin warns about about a buffer overflow flaw that could lead to remote code execution on the affected machine. Tracked as CVE-2022-3942, the security issue was reported by Trend Micro’s Zero Day Initiative team.
https://www.bleepingcomputer.com/news/security/hundreds-of-hp-printer-models-vulnerable-to-remote-code-execution/
BleepingComputer
Hundreds of HP printer models vulnerable to remote code execution
HP has published security advisories for three critical-severity vulnerabilities affecting hundreds of its LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format, and DeskJet printer models.