Validación incorrecta de datos de entrada en Lanaccess ONSAFE MonitorHM Web Console
Fecha 08/11/2023
Importancia 4 - Alta
Recursos Afectados
Lanaccess ONSAFE MonitorHM, versión 3.7.0.
Descripción
INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta a Lanaccess ONSAFE MonitorHM 3.7.0, que ha sido descubierta por Petar Alexandrov Nikolov.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
CVE-2023-6012: CVSS v3.1: 8.3 | CVSS: AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L | CWE-20.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/validacion-incorrecta-de-datos-de-entrada-en-lanaccess-onsafe-monitorhm-web
Fecha 08/11/2023
Importancia 4 - Alta
Recursos Afectados
Lanaccess ONSAFE MonitorHM, versión 3.7.0.
Descripción
INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta a Lanaccess ONSAFE MonitorHM 3.7.0, que ha sido descubierta por Petar Alexandrov Nikolov.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
CVE-2023-6012: CVSS v3.1: 8.3 | CVSS: AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L | CWE-20.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/validacion-incorrecta-de-datos-de-entrada-en-lanaccess-onsafe-monitorhm-web
www.incibe.es
Validación incorrecta de datos de entrada en Lanaccess ONSAFE MonitorHM Web Console
INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta a Lanaccess ONSAFE MonitorHM 3.7.0,
Múltiples vulnerabilidades en PHPMemcachedAdmin
Fecha 08/11/2023
Importancia 5 - Crítica
Recursos Afectados
PHPMemcachedAdmin versión 1.3.0
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a PHPMemcachedAdmin, un programa para la administración gráfica autónoma para memcached con fines de supervisión y depuración, las cuales han sido descubiertas por Rafael Pedrero.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
CVE-2023-6026: CVSS v3.1: 9.8 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-22.
CVE-2023-6027: CVSS v3.1: 6.1 | CVSS: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-phpmemcachedadmin
Fecha 08/11/2023
Importancia 5 - Crítica
Recursos Afectados
PHPMemcachedAdmin versión 1.3.0
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a PHPMemcachedAdmin, un programa para la administración gráfica autónoma para memcached con fines de supervisión y depuración, las cuales han sido descubiertas por Rafael Pedrero.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
CVE-2023-6026: CVSS v3.1: 9.8 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-22.
CVE-2023-6027: CVSS v3.1: 6.1 | CVSS: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-phpmemcachedadmin
www.incibe.es
Múltiples vulnerabilidades en PHPMemcachedAdmin
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a PHPMemcachedAdmin, un programa
VMSA-2023-0025
CVSSv3 Range: 8.8
Issue Date: 2023-10-31
CVE(s): CVE-2023-20886
Synopsis:
VMware Workspace ONE UEM console updates address an open redirect vulnerability (CVE-2023-20886)
Impacted Products
VMware Workspace ONE UEM console
Introduction
An open redirect vulnerability in VMware Workspace ONE UEM console was responsibly reported to VMware. Updates are available to remediate this vulnerability in affected VMware products.
https://www.vmware.com/security/advisories/VMSA-2023-0025.html
CVSSv3 Range: 8.8
Issue Date: 2023-10-31
CVE(s): CVE-2023-20886
Synopsis:
VMware Workspace ONE UEM console updates address an open redirect vulnerability (CVE-2023-20886)
Impacted Products
VMware Workspace ONE UEM console
Introduction
An open redirect vulnerability in VMware Workspace ONE UEM console was responsibly reported to VMware. Updates are available to remediate this vulnerability in affected VMware products.
https://www.vmware.com/security/advisories/VMSA-2023-0025.html
Múltiples vulnerabilidades en EspoCRM
Fecha 10/11/2023
Importancia 5 - Crítica
Recursos Afectados
EspoCRM, versiones iguales o anteriores a 7.5.2.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a EspoCRM, las cuales han sido descubiertas por Pedro José Navas Pérez de Hispasec.
A ambas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
CVE-2023-5965 y CVE-2023-5966: CVSS v3.1: 9.1 | CVSS: AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CWE-434.
Solución
Los usuarios con perfil administrador pueden cargar extensiones y actualizaciones por diseño, dado que es una funcionalidad que la mayoría de los usuarios utilizan y solicitan. Es posible restringir la explotación de la vulnerabilidad activando la opción "restrictedMode" en el menú de configuración.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-espocrm
Fecha 10/11/2023
Importancia 5 - Crítica
Recursos Afectados
EspoCRM, versiones iguales o anteriores a 7.5.2.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a EspoCRM, las cuales han sido descubiertas por Pedro José Navas Pérez de Hispasec.
A ambas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
CVE-2023-5965 y CVE-2023-5966: CVSS v3.1: 9.1 | CVSS: AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CWE-434.
Solución
Los usuarios con perfil administrador pueden cargar extensiones y actualizaciones por diseño, dado que es una funcionalidad que la mayoría de los usuarios utilizan y solicitan. Es posible restringir la explotación de la vulnerabilidad activando la opción "restrictedMode" en el menú de configuración.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-espocrm
www.incibe.es
Múltiples vulnerabilidades en EspoCRM
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a EspoCRM, las cuales han sido d
Vulnerabilidad RCE en Red Hat AMQ Broker
Fecha 10/11/2023
Importancia 5 - Crítica
Recursos Afectados
Red Hat JBoss Middleware Text-Only Advisories para MIDDLEWARE 1 x86_64.
Descripción
La deserialización ilimitada hace que ActiveMQ sea vulnerable a un ataque de ejecución remota de código (RCE) de severidad crítica.
Solución
Actualizar Red Hat AMQ Broker a las versiones:
7.10.5;
7.11.4.
Detalle
Esta vulnerabilidad podría permitir a un atacante remoto ejecutar comandos shell arbitrarios, manipulando tipos de clase serializados en el protocolo OpenWire, haciendo que el broker instancie cualquier clase en el classpath. Se ha asignado el identificador CVE-2023-46604 para esta vulnerabilidad.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-rce-en-red-hat-amq-broker
Fecha 10/11/2023
Importancia 5 - Crítica
Recursos Afectados
Red Hat JBoss Middleware Text-Only Advisories para MIDDLEWARE 1 x86_64.
Descripción
La deserialización ilimitada hace que ActiveMQ sea vulnerable a un ataque de ejecución remota de código (RCE) de severidad crítica.
Solución
Actualizar Red Hat AMQ Broker a las versiones:
7.10.5;
7.11.4.
Detalle
Esta vulnerabilidad podría permitir a un atacante remoto ejecutar comandos shell arbitrarios, manipulando tipos de clase serializados en el protocolo OpenWire, haciendo que el broker instancie cualquier clase en el classpath. Se ha asignado el identificador CVE-2023-46604 para esta vulnerabilidad.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-rce-en-red-hat-amq-broker
www.incibe.es
Vulnerabilidad RCE en Red Hat AMQ Broker
La deserialización ilimitada hace que ActiveMQ sea vulnerable a un ataque de ejecución remota de códig
Corregidas múltiples vulnerabilidades que afectan a productos QuMagie
Fecha 13/11/2023
Importancia 4 - Alta
Recursos Afectados
QuMagie, versión 2.1.x
Descripción
QNAP ha reportado múltiples vulnerabilidades que afectan a QuMagie, una solución de intercambio y administración de fotos de QNAP basada en inteligencia artificial y funciones de búsqueda avanzada.
De ser explotadas con éxito, estas vulnerabilidades podrían permitir a un ciberdelincuente ejecutar comandos a través de una red o inyectar código malicioso.
Solución
QNAP recomienda actualizar a la versión QuMagie 2.1.4 para beneficiarse de las correcciones de seguridad.
https://www.incibe.es/empresas/avisos/corregidas-multiples-vulnerabilidades-que-afectan-productos-qumagie
Fecha 13/11/2023
Importancia 4 - Alta
Recursos Afectados
QuMagie, versión 2.1.x
Descripción
QNAP ha reportado múltiples vulnerabilidades que afectan a QuMagie, una solución de intercambio y administración de fotos de QNAP basada en inteligencia artificial y funciones de búsqueda avanzada.
De ser explotadas con éxito, estas vulnerabilidades podrían permitir a un ciberdelincuente ejecutar comandos a través de una red o inyectar código malicioso.
Solución
QNAP recomienda actualizar a la versión QuMagie 2.1.4 para beneficiarse de las correcciones de seguridad.
https://www.incibe.es/empresas/avisos/corregidas-multiples-vulnerabilidades-que-afectan-productos-qumagie
www.incibe.es
Corregidas múltiples vulnerabilidades que afectan a productos QuMagie
QNAP ha reportado múltiples vulnerabilidades que afectan a QuMagie, una solución de intercambio y admi
VMSA-2023-0026
CVSSv3 Range: 9.8
Issue Date: 2023-11-14
CVE(s): CVE-2023-34060
Synopsis:
VMware Cloud Director Appliance contains an authentication bypass vulnerability (CVE-2023-34060).
Impacted Products
VMware Cloud Director Appliance (VCD Appliance)
Introduction
An authentication bypass vulnerability in VMware Cloud Director Appliance was privately reported to VMware. Updates are available to remediate this vulnerability in the affected VMware product.
https://www.vmware.com/security/advisories/VMSA-2023-0026.html
CVSSv3 Range: 9.8
Issue Date: 2023-11-14
CVE(s): CVE-2023-34060
Synopsis:
VMware Cloud Director Appliance contains an authentication bypass vulnerability (CVE-2023-34060).
Impacted Products
VMware Cloud Director Appliance (VCD Appliance)
Introduction
An authentication bypass vulnerability in VMware Cloud Director Appliance was privately reported to VMware. Updates are available to remediate this vulnerability in the affected VMware product.
https://www.vmware.com/security/advisories/VMSA-2023-0026.html
Adobe Releases Security Updates for Multiple Products
Release Date November 14, 2023
Adobe has released security updates to address vulnerabilities affecting multiple Adobe products. A cyber threat actor could exploit some of these vulnerabilities to take control of affected system.
CISA encourages users and administrators to review the following advisories and apply the necessary updates.
APSB23-52: Adobe ColdFusion
APSB23-53: Adobe RoboHelp Server
APSB23-54: Adobe Acrobat and Reader
APSB23-55: Adobe InDesign
APSB23-56: Adobe Photoshop
APSB23-57: Adobe Bridge
APSB23-58: Adobe FrameMaker Publishing Server
APSB23-60: Adobe InCopy
APSB23-61: Adobe Animate
APSB23-62: Adobe Dimension
APSB23-63: Adobe Media Encoder
APSB23-64: Adobe Audition
APSB23-65: Adobe Premiere Pro
APSB23-66: Adobe After Effects
https://www.cisa.gov/news-events/alerts/2023/11/14/adobe-releases-security-updates-multiple-products
Release Date November 14, 2023
Adobe has released security updates to address vulnerabilities affecting multiple Adobe products. A cyber threat actor could exploit some of these vulnerabilities to take control of affected system.
CISA encourages users and administrators to review the following advisories and apply the necessary updates.
APSB23-52: Adobe ColdFusion
APSB23-53: Adobe RoboHelp Server
APSB23-54: Adobe Acrobat and Reader
APSB23-55: Adobe InDesign
APSB23-56: Adobe Photoshop
APSB23-57: Adobe Bridge
APSB23-58: Adobe FrameMaker Publishing Server
APSB23-60: Adobe InCopy
APSB23-61: Adobe Animate
APSB23-62: Adobe Dimension
APSB23-63: Adobe Media Encoder
APSB23-64: Adobe Audition
APSB23-65: Adobe Premiere Pro
APSB23-66: Adobe After Effects
https://www.cisa.gov/news-events/alerts/2023/11/14/adobe-releases-security-updates-multiple-products
Inyección de código en VisualCounter I.Stats
Fecha 14/11/2023
Importancia 5 - Crítica
Recursos Afectados
VisualCounter I.Stats, versión 7.3.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a I.Stats de VisualCounter, una herramienta de gestión estadística de datos de afluencia de clientes en zonas comerciales, y que ha sido descubierta por Ignacio García Maestre (Br4v3n).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
CVE-2023-5518: CVSS v3.1: 9.8 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/inyeccion-de-codigo-en-visualcounter-istats
Fecha 14/11/2023
Importancia 5 - Crítica
Recursos Afectados
VisualCounter I.Stats, versión 7.3.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a I.Stats de VisualCounter, una herramienta de gestión estadística de datos de afluencia de clientes en zonas comerciales, y que ha sido descubierta por Ignacio García Maestre (Br4v3n).
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
CVE-2023-5518: CVSS v3.1: 9.8 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/inyeccion-de-codigo-en-visualcounter-istats
www.incibe.es
Inyección de código en VisualCounter I.Stats
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a I.Stats de VisualCounter, una h
ALERT
Fortinet Releases Security Updates for FortiClient and FortiGate
Release DateNovember 14, 2023
Fortinet has released security advisories addressing vulnerabilities in FortiClient and FortiGate. Cyber threat actors may exploit some of these vulnerabilities to take control of an affected system.
CISA encourages users and administrators to review the following Fortinet security advisories and apply the recommended updates:
FG-IR-22-299: FortiClient (Windows) - Arbitrary file deletion from unprivileged users
FG-IR-23-274: FortiClient (Windows) - DLL Hijacking via openssl.cnf
FG-IR-23-385: curl and libcurl CVE-2023-38545 and CVE-2023-38546 vulnerabilities
https://www.cisa.gov/news-events/alerts/2023/11/14/fortinet-releases-security-updates-forticlient-and-fortigate
Fortinet Releases Security Updates for FortiClient and FortiGate
Release DateNovember 14, 2023
Fortinet has released security advisories addressing vulnerabilities in FortiClient and FortiGate. Cyber threat actors may exploit some of these vulnerabilities to take control of an affected system.
CISA encourages users and administrators to review the following Fortinet security advisories and apply the recommended updates:
FG-IR-22-299: FortiClient (Windows) - Arbitrary file deletion from unprivileged users
FG-IR-23-274: FortiClient (Windows) - DLL Hijacking via openssl.cnf
FG-IR-23-385: curl and libcurl CVE-2023-38545 and CVE-2023-38546 vulnerabilities
https://www.cisa.gov/news-events/alerts/2023/11/14/fortinet-releases-security-updates-forticlient-and-fortigate
Microsoft Releases November 2023 Security Updates
https://msrc.microsoft.com/update-guide/releaseNote/2023-Nov
https://msrc.microsoft.com/update-guide/releaseNote/2023-Nov
Vulnerabilidad de escalada de privilegios en Intel Data Center Manager
Fecha 15/11/2023
Importancia 5 - Crítica
Recursos Afectados
Software Intel® Data Center Manager, versiones anteriores a 5.2.
Descripción
Julien Ahrens, de RCE Security, ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir una escalada de privilegios.
Solución
Intel recomienda actualizar el software Intel® DCM a la versión 5.2 o posterior.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-escalada-de-privilegios-en-intel-data-center-manager
Fecha 15/11/2023
Importancia 5 - Crítica
Recursos Afectados
Software Intel® Data Center Manager, versiones anteriores a 5.2.
Descripción
Julien Ahrens, de RCE Security, ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir una escalada de privilegios.
Solución
Intel recomienda actualizar el software Intel® DCM a la versión 5.2 o posterior.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-escalada-de-privilegios-en-intel-data-center-manager
www.incibe.es
Vulnerabilidad de escalada de privilegios en Intel Data Center Manager
Julien Ahrens, de RCE Security, ha reportado una vulnerabilidad de severidad crítica, cuya explotación
Múltiples vulnerabilidades en HPE Aruba Access Points
Fecha 15/11/2023
Importancia 5 - Crítica
Recursos Afectados
ArubaOS 10.5.x.x: 10.5.0.0 y anteriores.
ArubaOS 10.4.x.x: 10.4.0.2 y anteriores.
InstantOS 8.11.x.x: 8.11.1.2 y anteriores.
InstantOS 8.10.x.x: 8.10.0.8 y anteriores.
InstantOS 8.6.x.x: 8.6.0.22 y anteriores.
Todas las versiones de los siguientes productos sin mantenimiento:
ArubaOS 10.3.x.x;
InstantOS 8.9.x.x;
InstantOS 8.8.x.x;
InstantOS 8.7.x.x;
InstantOS 8.5.x.x;
InstantOS 8.4.x.x;
InstantOS 6.5.x.x;
InstantOS 6.4.x.x.
Descripción
HPE ha publicado 14 vulnerabilidades que afectan a Aruba Access Points, 3 con severidad crítica, 9 altas y 2 medias. La explotación de estas vulnerabilidades podría permitir a un atacante comprometer la integridad del sistema afectado, ejecutar código y comandos arbitrarios, y realizar una denegación de servicio.
Solución
Actualizar a las siguientes versiones:
ArubaOS 10.5.x.x: 10.5.0.1 y posteriores;
ArubaOS 10.4.x.x: 10.4.0.3 y posteriores;
InstantOS 8.11.x.x: 8.11.2.0 y posteriores;
InstantOS 8.10.x.x: 8.10.0.9 y posteriores;
InstantOS 8.6.x: 8.6.0.23 y posteriores.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-hpe-aruba-access-points
Fecha 15/11/2023
Importancia 5 - Crítica
Recursos Afectados
ArubaOS 10.5.x.x: 10.5.0.0 y anteriores.
ArubaOS 10.4.x.x: 10.4.0.2 y anteriores.
InstantOS 8.11.x.x: 8.11.1.2 y anteriores.
InstantOS 8.10.x.x: 8.10.0.8 y anteriores.
InstantOS 8.6.x.x: 8.6.0.22 y anteriores.
Todas las versiones de los siguientes productos sin mantenimiento:
ArubaOS 10.3.x.x;
InstantOS 8.9.x.x;
InstantOS 8.8.x.x;
InstantOS 8.7.x.x;
InstantOS 8.5.x.x;
InstantOS 8.4.x.x;
InstantOS 6.5.x.x;
InstantOS 6.4.x.x.
Descripción
HPE ha publicado 14 vulnerabilidades que afectan a Aruba Access Points, 3 con severidad crítica, 9 altas y 2 medias. La explotación de estas vulnerabilidades podría permitir a un atacante comprometer la integridad del sistema afectado, ejecutar código y comandos arbitrarios, y realizar una denegación de servicio.
Solución
Actualizar a las siguientes versiones:
ArubaOS 10.5.x.x: 10.5.0.1 y posteriores;
ArubaOS 10.4.x.x: 10.4.0.3 y posteriores;
InstantOS 8.11.x.x: 8.11.2.0 y posteriores;
InstantOS 8.10.x.x: 8.10.0.9 y posteriores;
InstantOS 8.6.x: 8.6.0.23 y posteriores.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-hpe-aruba-access-points
www.incibe.es
Múltiples vulnerabilidades en HPE Aruba Access Points
HPE ha publicado 14 vulnerabilidades que afectan a Aruba Access Points, 3 con severidad crítica, 9 alt
Actualización de seguridad de SAP de noviembre de 2023
Fecha 15/11/2023
Importancia 5 - Crítica
Recursos Afectados
SAP Business One, versión 10.0.
El resto de productos afectados por vulnerabilidades, no críticas, se pueden consultar en las referencias.
Descripción
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Solución
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizacion-de-seguridad-de-sap-de-noviembre-de-2023
Fecha 15/11/2023
Importancia 5 - Crítica
Recursos Afectados
SAP Business One, versión 10.0.
El resto de productos afectados por vulnerabilidades, no críticas, se pueden consultar en las referencias.
Descripción
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Solución
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizacion-de-seguridad-de-sap-de-noviembre-de-2023
www.incibe.es
Actualización de seguridad de SAP de noviembre de 2023
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Cross-Site Scripting en CKEditor de CKSource
Fecha 16/11/2023
Importancia 3 - Media
Recursos Afectados
CKEditor, versiones 4.15.1 y anteriores.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a CKEditor, un editor de texto de código abierto que proporciona funciones de procesador de texto en páginas web, y que ha sido descubierta por Rafael Pedrero.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
CVE-2023-4771: CVSS v3.1: 6.1 | CVSS: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/cross-site-scripting-en-ckeditor-de-cksource
Fecha 16/11/2023
Importancia 3 - Media
Recursos Afectados
CKEditor, versiones 4.15.1 y anteriores.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a CKEditor, un editor de texto de código abierto que proporciona funciones de procesador de texto en páginas web, y que ha sido descubierta por Rafael Pedrero.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
CVE-2023-4771: CVSS v3.1: 6.1 | CVSS: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/cross-site-scripting-en-ckeditor-de-cksource
www.incibe.es
Cross-Site Scripting en CKEditor de CKSource
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a CKEditor, un editor de texto de
Múltiples vulnerabilidades en Red Hat Fuse
Fecha 16/11/2023
Importancia 5 - Crítica
Recursos Afectados
Red Hat Fuse 1 x86_64.
Descripción
Red Hat ha publicado un aviso, de severidad crítica, informando de múltiples vulnerabilidades que afectan a su producto Fuse.
Solución
Actualizar Red Hat Fuse a la versión 7.12.1.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-red-hat-fuse
Fecha 16/11/2023
Importancia 5 - Crítica
Recursos Afectados
Red Hat Fuse 1 x86_64.
Descripción
Red Hat ha publicado un aviso, de severidad crítica, informando de múltiples vulnerabilidades que afectan a su producto Fuse.
Solución
Actualizar Red Hat Fuse a la versión 7.12.1.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-red-hat-fuse
www.incibe.es
Múltiples vulnerabilidades en Red Hat Fuse
Red Hat ha publicado un aviso, de severidad crítica, informando de múltiples vulnerabilidades que afec
Múltiples vulnerabilidades en productos Fortinet
Fecha 17/11/2023
Importancia 5 - Crítica
Recursos Afectados
FortiSIEM, versiones: 5.4.0, 5.3.3, 5.3.2, 5.3.1, 5.3.0, 5.2.8, 5.2.7, 5.2.6, 5.2.5, 5.2.2, 5.2.1, 5.1.3, 5.1.2, 5.1.1, 5.1.0, 5.0.1, 5.0.0, 4.10.0, 4.9.0 y 4.7.2.
FortiWLM, versiones: 8.6.5, 8.6.4, 8.6.3, 8.6.2, 8.6.1, 8.6.0, 8.5.4, 8.5.3, 8.5.2, 8.5.1, 8.5.0, 8.4.2, 8.4.1, 8.4.0, 8.3.2, 8.3.1, 8.3.0 y 8.2.2.
Descripción
Se han publicado 2 vulnerabilidades críticas, que afectan a los productos FortiSIEM y FortiWLM de Fortinet, cuya explotación podría permitir la ejecución de código o comandos no autorizados.
Solución
Actualizar FortiSIEM a las siguientes versiones (o superiores): 7.1.0, 7.0.1, 6.7.6, 6.6.4, 6.5.2 y 6.4.3.
Actualizar FortiWLM a las siguientes versiones (o superiores): 8.6.6 y 8.5.5.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-fortinet
Fecha 17/11/2023
Importancia 5 - Crítica
Recursos Afectados
FortiSIEM, versiones: 5.4.0, 5.3.3, 5.3.2, 5.3.1, 5.3.0, 5.2.8, 5.2.7, 5.2.6, 5.2.5, 5.2.2, 5.2.1, 5.1.3, 5.1.2, 5.1.1, 5.1.0, 5.0.1, 5.0.0, 4.10.0, 4.9.0 y 4.7.2.
FortiWLM, versiones: 8.6.5, 8.6.4, 8.6.3, 8.6.2, 8.6.1, 8.6.0, 8.5.4, 8.5.3, 8.5.2, 8.5.1, 8.5.0, 8.4.2, 8.4.1, 8.4.0, 8.3.2, 8.3.1, 8.3.0 y 8.2.2.
Descripción
Se han publicado 2 vulnerabilidades críticas, que afectan a los productos FortiSIEM y FortiWLM de Fortinet, cuya explotación podría permitir la ejecución de código o comandos no autorizados.
Solución
Actualizar FortiSIEM a las siguientes versiones (o superiores): 7.1.0, 7.0.1, 6.7.6, 6.6.4, 6.5.2 y 6.4.3.
Actualizar FortiWLM a las siguientes versiones (o superiores): 8.6.6 y 8.5.5.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-fortinet
www.incibe.es
Múltiples vulnerabilidades en productos Fortinet
Se han publicado 2 vulnerabilidades críticas, que afectan a los productos FortiSIEM y FortiWLM de Fort
Vulnerabilidad XSS en Liferay Portal
Fecha 17/11/2023
Importancia 5 - Crítica
Recursos Afectados
Liferay Portal, versiones desde 7.4.3.94 hasta 7.4.3.95.
Descripción
Liferay ha publicado una vulnerabilidad crítica de tipo XSS ( Cross-Site Scripting) que afecta a su producto Portal.
Solución
Actualizar Liferay Portal a la versión 7.4.3.96.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-xss-en-liferay-portal
Fecha 17/11/2023
Importancia 5 - Crítica
Recursos Afectados
Liferay Portal, versiones desde 7.4.3.94 hasta 7.4.3.95.
Descripción
Liferay ha publicado una vulnerabilidad crítica de tipo XSS ( Cross-Site Scripting) que afecta a su producto Portal.
Solución
Actualizar Liferay Portal a la versión 7.4.3.96.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-xss-en-liferay-portal
www.incibe.es
Vulnerabilidad XSS en Liferay Portal
Liferay ha publicado una vulnerabilidad crítica de tipo XSS (Cross-Site Scripting) que afecta
Google researchers discover 'Reptar,’ a new CPU vulnerability.
https://cloud.google.com/blog/products/identity-security/google-researchers-discover-reptar-a-new-cpu-vulnerability
https://cloud.google.com/blog/products/identity-security/google-researchers-discover-reptar-a-new-cpu-vulnerability
Google Cloud Blog
Google researchers discover 'Reptar,’ a new CPU vulnerability | Google Cloud Blog
A new CPU vulnerability, ‘Reptar,’ found by Google researchers, has been patched by Google and Intel. Here’s what you need to know.
Forwarded from Una al día
Intel responde a la vulnerabilidad crítica Reptar lanzando parches para corregirla
https://unaaldia.hispasec.com/2023/11/intel-responde-a-la-vulnerabilidad-critica-reptar-lanzando-parches-para-corregirla.html?utm_source=rss&utm_medium=rss&utm_campaign=intel-responde-a-la-vulnerabilidad-critica-reptar-lanzando-parches-para-corregirla
https://unaaldia.hispasec.com/2023/11/intel-responde-a-la-vulnerabilidad-critica-reptar-lanzando-parches-para-corregirla.html?utm_source=rss&utm_medium=rss&utm_campaign=intel-responde-a-la-vulnerabilidad-critica-reptar-lanzando-parches-para-corregirla
Una al Día
Intel responde a la vulnerabilidad crítica Reptar lanzando parches para corregirla
Intel ha lanzado parches destinados a corregir una vulnerabilidad crítica denominada "Reptar", que afecta a sus CPU de diversos dispositivos.
Múltiples vulnerabilidades SQL Buddy
Fecha 20/11/2023
Importancia 3 - Media
Recursos Afectados
SQL Buddy, versión 1.3.3
Descripción
INCIBE ha coordinado la publicación de 6 vulnerabilidades que afectan a SQL Buddy, las cuales han sido descubiertas por Rafael Pedrero.
A todas las vulnerabilidades se les ha asignado la siguiente puntuación base CVSS v3.1, vector del CVSS y tipo de vulnerabilidad CWE:
CVSS v3.1: 6.1 | CVSS: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-sql-buddy
Fecha 20/11/2023
Importancia 3 - Media
Recursos Afectados
SQL Buddy, versión 1.3.3
Descripción
INCIBE ha coordinado la publicación de 6 vulnerabilidades que afectan a SQL Buddy, las cuales han sido descubiertas por Rafael Pedrero.
A todas las vulnerabilidades se les ha asignado la siguiente puntuación base CVSS v3.1, vector del CVSS y tipo de vulnerabilidad CWE:
CVSS v3.1: 6.1 | CVSS: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-sql-buddy
www.incibe.es
Múltiples vulnerabilidades SQL Buddy
INCIBE ha coordinado la publicación de 6 vulnerabilidades que afectan a SQL Buddy, las cuales han sido