Vulnerabilidad de divulgación de información sensible en productos Netgear
Fecha 28/11/2023
Importancia 5 - Crítica
Recursos Afectados
Prosafe Network Management System, versiones anteriores a 1.7.0.34.
Descripción
Tenable Network Security ha reportado una vulnerabilidad de severidad crítica que afecta a Prosafe Network Management System de Netgear.
Solución
NETGEAR recomienda a los usuarios afectados descargar la última versión de NMS300 (1.7.0.34) lo antes posible.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-divulgacion-de-informacion-sensible-en-productos-netgear
Fecha 28/11/2023
Importancia 5 - Crítica
Recursos Afectados
Prosafe Network Management System, versiones anteriores a 1.7.0.34.
Descripción
Tenable Network Security ha reportado una vulnerabilidad de severidad crítica que afecta a Prosafe Network Management System de Netgear.
Solución
NETGEAR recomienda a los usuarios afectados descargar la última versión de NMS300 (1.7.0.34) lo antes posible.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-divulgacion-de-informacion-sensible-en-productos-netgear
www.incibe.es
[Actualización 30/11/2023] Vulnerabilidad de divulgación de información sensible en productos Netgear
Tenable Network Security ha reportado una vulnerabilidad de severidad crítica que afecta a Prosafe Net
Vulnerabilidad de request smuggling en Apache Tomcat
Fecha 29/11/2023
Importancia 4 - Alta
Recursos Afectados
Apache Tomcat, versiones:
desde 11.0.0-M1 hasta 11.0.0-M10;
desde 10.1.0-M1 hasta 10.1.15;
desde 9.0.0-M1 hasta 9.0.82;
desde 8.5.0 hasta 8.5.95.
Descripción
Norihito Aimoto, investigador de OSSTech Corporation, ha reportado una vulnerabilidad de tipo contrabando de solicitudes ( request smuggling) HTTP que afecta a varias versiones de Apache Tomcat.
Solución
Actualizar a las siguientes versiones (o posteriores):
11.0.0-M11;
10.1.16;
9.0.83;
8.5.96.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-request-smuggling-en-apache-tomcat
Fecha 29/11/2023
Importancia 4 - Alta
Recursos Afectados
Apache Tomcat, versiones:
desde 11.0.0-M1 hasta 11.0.0-M10;
desde 10.1.0-M1 hasta 10.1.15;
desde 9.0.0-M1 hasta 9.0.82;
desde 8.5.0 hasta 8.5.95.
Descripción
Norihito Aimoto, investigador de OSSTech Corporation, ha reportado una vulnerabilidad de tipo contrabando de solicitudes ( request smuggling) HTTP que afecta a varias versiones de Apache Tomcat.
Solución
Actualizar a las siguientes versiones (o posteriores):
11.0.0-M11;
10.1.16;
9.0.83;
8.5.96.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-request-smuggling-en-apache-tomcat
www.incibe.es
Vulnerabilidad de request smuggling en Apache Tomcat
Norihito Aimoto, investigador de OSSTech Corporation, ha reportado una vulnerabilidad de tipo contraba
Actualizaciones de seguridad de Joomla! 5.0.1 y 4.4.1
Fecha 29/11/2023
Importancia 4 - Alta
Recursos Afectados
Joomla! CMS, versiones:
desde 1.6.0 hasta 4.4.0;
5.0.0.
Descripción
El JSST (Joomla! Security Strike Team) ha informado de una vulnerabilidad que afecta al core de Joomla! CMS, cuya explotación podría permitir la divulgación de información.
Solución
Instalar o actualizar a las versiones 3.10.14-elts, 4.4.1 o 5.0.1.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-joomla-501-y-441
Fecha 29/11/2023
Importancia 4 - Alta
Recursos Afectados
Joomla! CMS, versiones:
desde 1.6.0 hasta 4.4.0;
5.0.0.
Descripción
El JSST (Joomla! Security Strike Team) ha informado de una vulnerabilidad que afecta al core de Joomla! CMS, cuya explotación podría permitir la divulgación de información.
Solución
Instalar o actualizar a las versiones 3.10.14-elts, 4.4.1 o 5.0.1.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-joomla-501-y-441
www.incibe.es
Actualizaciones de seguridad de Joomla! 5.0.1 y 4.4.1
El JSST (Joomla!
[Actualización 30/11/2023] Vulnerabilidad de divulgación de información sensible en productos Netgear
Fecha 28/11/2023
Importancia 5 - Crítica
Recursos Afectados
Prosafe Network Management System, versiones anteriores a 1.7.0.34.
Descripción
Tenable Network Security ha reportado una vulnerabilidad de severidad crítica que afecta a Prosafe Network Management System de Netgear.
Solución
NETGEAR recomienda a los usuarios afectados descargar la última versión de NMS300 (1.7.0.34) lo antes posible.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-divulgacion-de-informacion-sensible-en-productos-netgear
Fecha 28/11/2023
Importancia 5 - Crítica
Recursos Afectados
Prosafe Network Management System, versiones anteriores a 1.7.0.34.
Descripción
Tenable Network Security ha reportado una vulnerabilidad de severidad crítica que afecta a Prosafe Network Management System de Netgear.
Solución
NETGEAR recomienda a los usuarios afectados descargar la última versión de NMS300 (1.7.0.34) lo antes posible.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-divulgacion-de-informacion-sensible-en-productos-netgear
www.incibe.es
[Actualización 30/11/2023] Vulnerabilidad de divulgación de información sensible en productos Netgear
Tenable Network Security ha reportado una vulnerabilidad de severidad crítica que afecta a Prosafe Net
Múltiples vulnerabilidades XSS en productos de BigProf
Fecha 30/11/2023
Importancia 3 - Media
Recursos Afectados
Online Clinic Management System, versión 2.2.
Online Invoicing System, versión 2.6.
Online Inventory Manager, versión 3.2.
Descripción
INCIBE ha coordinado la publicación de 14 vulnerabilidades que afectan a varios productos de BigProf, un sistema de gestión de contenidos web de código abierto, las cuales han sido descubiertas por Rafael Pedrero.
A estas vulnerabilidades se les ha asignado la siguiente puntuación base CVSS v3.1, vector del CVSS y tipo de vulnerabilidad CWE, común para todas ellas:
CVSS v3.1: 6.3 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L | CWE-79
Se han reservado los identificadores CVE desde CVE-2023-6422 hasta CVE-2023-6432, ambos incluidos.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-xss-en-productos-de-bigprof
Fecha 30/11/2023
Importancia 3 - Media
Recursos Afectados
Online Clinic Management System, versión 2.2.
Online Invoicing System, versión 2.6.
Online Inventory Manager, versión 3.2.
Descripción
INCIBE ha coordinado la publicación de 14 vulnerabilidades que afectan a varios productos de BigProf, un sistema de gestión de contenidos web de código abierto, las cuales han sido descubiertas por Rafael Pedrero.
A estas vulnerabilidades se les ha asignado la siguiente puntuación base CVSS v3.1, vector del CVSS y tipo de vulnerabilidad CWE, común para todas ellas:
CVSS v3.1: 6.3 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L | CWE-79
Se han reservado los identificadores CVE desde CVE-2023-6422 hasta CVE-2023-6432, ambos incluidos.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-xss-en-productos-de-bigprof
www.incibe.es
Múltiples vulnerabilidades XSS en productos de BigProf
INCIBE ha coordinado la publicación de 14 vulnerabilidades que afectan a varios productos de BigProf,
Múltiples vulnerabilidades en Voovi Social Networking Script
Fecha 30/11/2023
Importancia 5 - Crítica
Recursos Afectados
Voovi Social Networking Script, versión 1.0.
Descripción
INCIBE ha coordinado la publicación de 11 vulnerabilidades que afectan a Voovi, un script de código abierto para redes sociales, las cuales han sido descubiertas por Rafael Pedrero.
A estas vulnerabilidades se les han asignado las siguientes puntuaciones base CVSS v3.1, vectores del CVSS y tipos de vulnerabilidad CWE:
Identificadores CVE desde CVE-2023-6410 a CVE-2023-6418 ambos incluidos:
CVSS v3.1: 9.8 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89.
Identificadores CVE-2023-6419 y CVE-2023-6420:
CVSS v3.1: 6.5 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CWE-79.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-voovi-social-networking-script
Fecha 30/11/2023
Importancia 5 - Crítica
Recursos Afectados
Voovi Social Networking Script, versión 1.0.
Descripción
INCIBE ha coordinado la publicación de 11 vulnerabilidades que afectan a Voovi, un script de código abierto para redes sociales, las cuales han sido descubiertas por Rafael Pedrero.
A estas vulnerabilidades se les han asignado las siguientes puntuaciones base CVSS v3.1, vectores del CVSS y tipos de vulnerabilidad CWE:
Identificadores CVE desde CVE-2023-6410 a CVE-2023-6418 ambos incluidos:
CVSS v3.1: 9.8 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89.
Identificadores CVE-2023-6419 y CVE-2023-6420:
CVSS v3.1: 6.5 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CWE-79.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-voovi-social-networking-script
www.incibe.es
Múltiples vulnerabilidades en Voovi Social Networking Script
INCIBE ha coordinado la publicación de 11 vulnerabilidades que afectan a Voovi, un script de
SysAdmin 24x7
VMSA-2023-0026 CVSSv3 Range: 9.8 Issue Date: 2023-11-14 CVE(s): CVE-2023-34060 Synopsis: VMware Cloud Director Appliance contains an authentication bypass vulnerability (CVE-2023-34060). Impacted Products VMware Cloud Director Appliance (VCD Appliance)…
VMSA-2023-0026.1
CVSSv3 Range: 9.8
Issue Date: 2023-11-14
Updated On: 2023-11-30
CVE(s): CVE-2023-34060
Synopsis:
VMware Cloud Director Appliance contains an authentication bypass vulnerability (CVE-2023-34060).
Impacted Products
VMware Cloud Director Appliance (VCD Appliance)
Introduction
An authentication bypass vulnerability in VMware Cloud Director Appliance was privately reported to VMware. Updates are available to remediate this vulnerability in the affected VMware product.
https://www.vmware.com/security/advisories/VMSA-2023-0026.html
CVSSv3 Range: 9.8
Issue Date: 2023-11-14
Updated On: 2023-11-30
CVE(s): CVE-2023-34060
Synopsis:
VMware Cloud Director Appliance contains an authentication bypass vulnerability (CVE-2023-34060).
Impacted Products
VMware Cloud Director Appliance (VCD Appliance)
Introduction
An authentication bypass vulnerability in VMware Cloud Director Appliance was privately reported to VMware. Updates are available to remediate this vulnerability in the affected VMware product.
https://www.vmware.com/security/advisories/VMSA-2023-0026.html
Múltiples vulnerabilidades en productos Apple
Fecha 01/12/2023
Importancia 5 - Crítica
Recursos Afectados
Dispositivos con versiones anteriores a:
iOS e iPadOS 17.1.2;
macOS Sonoma 14.1.2;
Safari 17.1.2.
Descripción
Clément Lecigne, investigador de Threat Analysis Group de Google, ha reportado 2 vulnerabilidades 0day en explotación activa para versiones de iOS anteriores a 16.7.1, y que afectan al componente WebKit presente en varios productos de Apple.
Solución
Actualizar a las versiones:
iOS e iPadOS 17.1.2;
macOS Sonoma 14.1.2;
Safari 17.1.2.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-apple-1
Fecha 01/12/2023
Importancia 5 - Crítica
Recursos Afectados
Dispositivos con versiones anteriores a:
iOS e iPadOS 17.1.2;
macOS Sonoma 14.1.2;
Safari 17.1.2.
Descripción
Clément Lecigne, investigador de Threat Analysis Group de Google, ha reportado 2 vulnerabilidades 0day en explotación activa para versiones de iOS anteriores a 16.7.1, y que afectan al componente WebKit presente en varios productos de Apple.
Solución
Actualizar a las versiones:
iOS e iPadOS 17.1.2;
macOS Sonoma 14.1.2;
Safari 17.1.2.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-apple-1
www.incibe.es
Múltiples vulnerabilidades en productos Apple
Clément Lecigne, investigador de Threat Analysis Group de Google, ha reportado 2 vulnerabilidades 0day
US Health Dept urges hospitals to patch critical Citrix Bleed bug
The U.S. Department of Health and Human Services (HHS) warned hospitals this week to patch the critical 'Citrix Bleed' Netscaler vulnerability actively exploited in attacks.
https://www.bleepingcomputer.com/news/security/us-health-dept-urges-hospitals-to-patch-critical-citrix-bleed-bug/
The U.S. Department of Health and Human Services (HHS) warned hospitals this week to patch the critical 'Citrix Bleed' Netscaler vulnerability actively exploited in attacks.
https://www.bleepingcomputer.com/news/security/us-health-dept-urges-hospitals-to-patch-critical-citrix-bleed-bug/
BleepingComputer
US Health Dept urges hospitals to patch critical Citrix Bleed bug
The U.S. Department of Health and Human Services (HHS) warned hospitals this week to patch the critical 'Citrix Bleed' Netscaler vulnerability actively exploited in attacks.
Apache fixed Critical RCE flaw CVE-2023-50164 in Struts 2
The Apache Software Foundation released security updates to address a critical file upload vulnerability in the Struts 2 open-source framework. Successful exploitation of the flaw, tracked as CVE-2023-50164, could lead to remote code execution.
https://securityaffairs.com/155643/hacking/apache-struts-2-critical-flaw.html
The Apache Software Foundation released security updates to address a critical file upload vulnerability in the Struts 2 open-source framework. Successful exploitation of the flaw, tracked as CVE-2023-50164, could lead to remote code execution.
https://securityaffairs.com/155643/hacking/apache-struts-2-critical-flaw.html
Security Affairs
Apache fixed Critical RCE flaw CVE-2023-50164 in Struts 2
The Apache Software Foundation addressed a critical remote code execution vulnerability in the Struts 2 open-source framework.
Boletín de seguridad de Android: diciembre de 2023
Fecha 11/12/2023
Importancia 5 - Crítica
Recursos Afectados
Android Open Source Project (AOSP): versiones 11, 12, 12L, 13 y 14.
Componentes del sistema, de la estructura, de MediaTek y de Qualcomm.
Descripción
El boletín de Android, relativo a diciembre de 2023, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, divulgación de información, denegación de servicio o conducir a la ejecución remota de código.
Solución
En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.
En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/boletin-de-seguridad-de-android-diciembre-de-2023
Fecha 11/12/2023
Importancia 5 - Crítica
Recursos Afectados
Android Open Source Project (AOSP): versiones 11, 12, 12L, 13 y 14.
Componentes del sistema, de la estructura, de MediaTek y de Qualcomm.
Descripción
El boletín de Android, relativo a diciembre de 2023, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, divulgación de información, denegación de servicio o conducir a la ejecución remota de código.
Solución
En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.
En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/boletin-de-seguridad-de-android-diciembre-de-2023
www.incibe.es
Boletín de seguridad de Android: diciembre de 2023
El boletín de Android, relativo a diciembre de 2023, soluciona múltiples vulnerabilidades de severidad
Cross-Site Request Forgery en OPEN JOURNAL SYSTEMS
Fecha 11/12/2023
Importancia 3 - Media
Recursos Afectados
OPEN JOURNAL SYSTEMS, versión 3.3.0.13.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a OJS (OPEN JOURNAL SYSTEMS), una solución de código abierto para la gestión y publicación de revistas académicas en línea, en su versión 3.3.0.13, la cual ha sido descubierta por David Cámara Galindo, de Telefónica Tech .
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
CVE-2023-6671: CVSS v3.1: 6.3 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L | CWE-352.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/cross-site-request-forgery-en-open-journal-systems
Fecha 11/12/2023
Importancia 3 - Media
Recursos Afectados
OPEN JOURNAL SYSTEMS, versión 3.3.0.13.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a OJS (OPEN JOURNAL SYSTEMS), una solución de código abierto para la gestión y publicación de revistas académicas en línea, en su versión 3.3.0.13, la cual ha sido descubierta por David Cámara Galindo, de Telefónica Tech .
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
CVE-2023-6671: CVSS v3.1: 6.3 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L | CWE-352.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/cross-site-request-forgery-en-open-journal-systems
www.incibe.es
Cross-Site Request Forgery en OPEN JOURNAL SYSTEMS
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a OJS (OPEN JOURNAL SYSTEMS), una
Múltiples vulnerabilidades en productos de Apple
Fecha 12/12/2023
Importancia 5 - Crítica
Recursos Afectados
Versiones anteriores a:
Safari 17.2
iOS 17.2 and iPadOS 17.2
iOS 16.7.3 and iPadOS 16.7.3
macOS Sonoma 14.2
macOS Ventura 13.6.3
macOS Monterey 12.7.2
tvOS 17.2
watchOS 10.2
Descripción
Apple ha informado sobre varias vulnerabilidades, algunas de tipo 0day, que podrían permitir a un atacante ejecutar código arbitrario.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-apple
Fecha 12/12/2023
Importancia 5 - Crítica
Recursos Afectados
Versiones anteriores a:
Safari 17.2
iOS 17.2 and iPadOS 17.2
iOS 16.7.3 and iPadOS 16.7.3
macOS Sonoma 14.2
macOS Ventura 13.6.3
macOS Monterey 12.7.2
tvOS 17.2
watchOS 10.2
Descripción
Apple ha informado sobre varias vulnerabilidades, algunas de tipo 0day, que podrían permitir a un atacante ejecutar código arbitrario.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-apple
www.incibe.es
Múltiples vulnerabilidades en productos de Apple
Apple ha informado sobre varias vulnerabilidades, algunas de tipo 0day, que podrían permitir a un atac
Múltiples vulnerabilidades en Repox
Fecha 12/12/2023
Importancia 5 - Crítica
Recursos Afectados
Repox, versiones 2.3.7 y anteriores.
Descripción
INCIBE ha coordinado la publicación de 6 vulnerabilidades que afectan a Repox 2.3.7, un marco para administrar espacios de datos, las cuales han sido descubiertas por David Cámara Galindo y Andrés Elizalde Galdeano, de Telefónica Tech.
A estas vulnerabilidades se les han asignado las siguientes puntuaciones base CVSS v3.1.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-repox
Fecha 12/12/2023
Importancia 5 - Crítica
Recursos Afectados
Repox, versiones 2.3.7 y anteriores.
Descripción
INCIBE ha coordinado la publicación de 6 vulnerabilidades que afectan a Repox 2.3.7, un marco para administrar espacios de datos, las cuales han sido descubiertas por David Cámara Galindo y Andrés Elizalde Galdeano, de Telefónica Tech.
A estas vulnerabilidades se les han asignado las siguientes puntuaciones base CVSS v3.1.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-repox
www.incibe.es
Múltiples vulnerabilidades en Repox
INCIBE ha coordinado la publicación de 6 vulnerabilidades que afectan a Repox 2.3.7, un marco para adm
VMSA-2023-0027
CVSSv3 Range: 6.3
Issue Date: 2023-12-12
CVE(s): CVE-2023-34064
Synopsis:
VMware Workspace ONE Launcher updates addresses privilege escalation vulnerability. (CVE-2023-34064)
Impacted Products
VMware Workspace ONE Launcher
Introduction
A privilege escalation vulnerability in VMware Workspace ONE Launch was responsibly reported to VMware. Updates are available to remediate this vulnerability in affected VMware products.
https://www.vmware.com/security/advisories/VMSA-2023-0027.html
CVSSv3 Range: 6.3
Issue Date: 2023-12-12
CVE(s): CVE-2023-34064
Synopsis:
VMware Workspace ONE Launcher updates addresses privilege escalation vulnerability. (CVE-2023-34064)
Impacted Products
VMware Workspace ONE Launcher
Introduction
A privilege escalation vulnerability in VMware Workspace ONE Launch was responsibly reported to VMware. Updates are available to remediate this vulnerability in affected VMware products.
https://www.vmware.com/security/advisories/VMSA-2023-0027.html
VMware
VMSA-2023-0027
VMware Workspace ONE Launcher updates addresses privilege escalation vulnerability. (CVE-2023-34064)
Microsoft Releases December 2023 Security Updates
https://msrc.microsoft.com/update-guide/releaseNote/2023-Dec
https://msrc.microsoft.com/update-guide/releaseNote/2023-Dec
Adobe Releases Security Updates for Multiple Products
Release DateDecember 12, 2023
https://www.cisa.gov/news-events/alerts/2023/12/12/adobe-releases-security-updates-multiple-products
Release DateDecember 12, 2023
https://www.cisa.gov/news-events/alerts/2023/12/12/adobe-releases-security-updates-multiple-products
Múltiples vulnerabilidades en HPE vTeMIP
Fecha 13/12/2023
Importancia 5 - Crítica
Recursos Afectados
HPE Telecommunication Management Information Platform (vTeMIP), versiones 8.3.x y 8.4.x.
Descripción
HPE Product Security Response Team ha notificado múltiples vulnerabilidades, de severidades crítica, alta y media, que afectan a HPE vTeMIP, cuya explotación podría permitir a un atacante corromper la memoria, desbordar la pila de memoria y realizar una denegación de servicio (DoS).
Solución
Actualizar HPE vTeMIP a la versión 8.5.0 o posteriores.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-hpe-vtemip
Fecha 13/12/2023
Importancia 5 - Crítica
Recursos Afectados
HPE Telecommunication Management Information Platform (vTeMIP), versiones 8.3.x y 8.4.x.
Descripción
HPE Product Security Response Team ha notificado múltiples vulnerabilidades, de severidades crítica, alta y media, que afectan a HPE vTeMIP, cuya explotación podría permitir a un atacante corromper la memoria, desbordar la pila de memoria y realizar una denegación de servicio (DoS).
Solución
Actualizar HPE vTeMIP a la versión 8.5.0 o posteriores.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-hpe-vtemip
www.incibe.es
[Actualización 05/08/2024] Múltiples vulnerabilidades en HPE vTeMIP
HPE Product Security Response Team ha notificado múltiples vulnerabilidades, de severidades crítica, a
Control de acceso inadecuado en FortiMail de Fortinet
Fecha 13/12/2023
Importancia 5 - Crítica
Recursos Afectados
FortiMail, versión 7.4.0.
Descripción
El equipo de investigadores de FortiGuard Labs ha reportado una vulnerabilidad crítica que afecta a la solución de seguridad de correo electrónico FortiMail, cuya explotación podría permitir a un atacante omitir el proceso de autenticación.
Solución
Actualizar FortiMail a la versión 7.4.1 o superiores.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/control-de-acceso-inadecuado-en-fortimail-de-fortinet
Fecha 13/12/2023
Importancia 5 - Crítica
Recursos Afectados
FortiMail, versión 7.4.0.
Descripción
El equipo de investigadores de FortiGuard Labs ha reportado una vulnerabilidad crítica que afecta a la solución de seguridad de correo electrónico FortiMail, cuya explotación podría permitir a un atacante omitir el proceso de autenticación.
Solución
Actualizar FortiMail a la versión 7.4.1 o superiores.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/control-de-acceso-inadecuado-en-fortimail-de-fortinet
www.incibe.es
Control de acceso inadecuado en FortiMail de Fortinet
El equipo de investigadores de FortiGuard Labs ha reportado una vulnerabilidad crítica que afecta a la
Actualización de seguridad de SAP de diciembre de 2023
Fecha 13/12/2023
Importancia 5 - Crítica
Recursos Afectados
Business Technology Platform (BTP) Security Services Integration Libraries:
Library-@sap/xssec, versiones anteriores a 3.6.0.
Library-cloud-security-services-integration-library, versiones anteriores a 2.17.0 y desde la versión 3.0.0 hasta la versión 3.3.0.
Library-sap-xssec, versiones anteriores a 4.1.0.
Library-github.com/sap/cloud-security-client-go, versiones anteriores a 0.17.0.
El resto de productos afectados por vulnerabilidades, no críticas, se pueden consultar en las referencias.
Descripción
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Solución
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizacion-de-seguridad-de-sap-de-diciembre-de-2023
Fecha 13/12/2023
Importancia 5 - Crítica
Recursos Afectados
Business Technology Platform (BTP) Security Services Integration Libraries:
Library-@sap/xssec, versiones anteriores a 3.6.0.
Library-cloud-security-services-integration-library, versiones anteriores a 2.17.0 y desde la versión 3.0.0 hasta la versión 3.3.0.
Library-sap-xssec, versiones anteriores a 4.1.0.
Library-github.com/sap/cloud-security-client-go, versiones anteriores a 0.17.0.
El resto de productos afectados por vulnerabilidades, no críticas, se pueden consultar en las referencias.
Descripción
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Solución
Visitar el portal de soporte de SAP e instalar las actualizaciones o los parches necesarios, según indique el fabricante.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizacion-de-seguridad-de-sap-de-diciembre-de-2023
www.incibe.es
Actualización de seguridad de SAP de diciembre de 2023
SAP ha publicado varias actualizaciones de seguridad en diferentes productos en su comunicado mensual.
Múltiples vulnerabilidades en Amazing Little Poll
Fecha 13/12/2023
Importancia 5 - Crítica
Recursos Afectados
Amazing Little poll, versiones 1.3 y 1.4.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a Amazing Little Poll, un script en PHP para la generación de encuestas, las cuales han sido descubiertas por David Utón Amaya (m3n0sd0n4ld).
A estas vulnerabilidades se les han asignado las siguientes puntuaciones base CVSS v3.1.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-amazing-little-poll
Fecha 13/12/2023
Importancia 5 - Crítica
Recursos Afectados
Amazing Little poll, versiones 1.3 y 1.4.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a Amazing Little Poll, un script en PHP para la generación de encuestas, las cuales han sido descubiertas por David Utón Amaya (m3n0sd0n4ld).
A estas vulnerabilidades se les han asignado las siguientes puntuaciones base CVSS v3.1.
Solución
No hay solución reportada por el momento.
https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-amazing-little-poll
www.incibe.es
Múltiples vulnerabilidades en Amazing Little Poll
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a Amazing Little Poll, un sc