Vulnerabilidad en Subnet Solutions Inc.

Se ha detectado una vulnerabilidad de severidad alta en el producto PowerSYSTEM Center de Subnet Solutions. La vulnerabilidad podría permitir a un usuario local autorizado insertar código arbitrario en una ruta de servicio sin comillas y escalar privilegios.

Recursos afectados:

PowerSYSTEM Center 2020, versiones 5.0.x hasta 5.16.x.

Solución:

Actualizar PowerSYSTEM Center a las versiones 2020 Update 17 o posteriores.

Múltiples vulnerabilidades en EFACEC BCU 500

Se han reportado dos vulnerabilidades, una de severidad crítica y otra alta, que afectan al producto BCU 500 de EFACEC. Su explotación podría permitir a un atacante causar una condición de denegación de servicio (DoS) o comprometer la aplicación web mediante un Cross-Site Request Forgery (CSRF).

Recursos afectados:

BCU 500, versión 4.07.

Solución:

Actualizar BCU 500 a la versión 4.08.

Múltiples vulnerabilidades en productos de Open Design Alliance (ODA)

Se han descubierto tres vulnerabilidades de severidad alta que afectan a productos de Open Design Alliance (ODA), cuya explotación podría permitir a un atacante remoto revelar información confidencial sobre las instalaciones afectadas.

Recursos afectados:  

Drawing SDK: versiones anteriores a 2024.1

Solución:

Consultar el aviso de seguridad de la AOD 24.1 y 23.6.

Múltiples vulnerabilidades en Eurotel ETL3100

Se han publicado 2 vulnerabilidades, una de severidad crítica y otra alta, en Eurotel ETL3100. La explotación de las vulnerabilidades podría permitir a un atacante, no autenticado, obtener acceso completo al sistema, revelar información sensible o acceder a recursos ocultos.

Recursos afectados:

ETL3100, versiones v01c01 y v01x37.

Solución:

Se recomienda a los usuarios de las versiones afectadas de ETL3100 a ponerse en contacto con el servicio de atención al cliente de EuroTel.

Múltiples vulnerabilidades en Ivanti

Ivanti ha publicado 20 vulnerabilidades de severidad crítica y alta que podrían provocar daños en la memoria, dando lugar a una denegación de servicio (DoS) o la ejecución de código.

Recursos afectados:

Ivanti Avalanche v6.4.1

Solución:

Actualizar a la versión Ivanti Avalanche 6.4.2 o posteriores.

Vulnerabilidad en Imou Life app

Se ha descubierto una vulnerabilidad de secuestro de sesión que afecta a Imou Life app. El fallo podría permitir a un atacante secuestrar cuentas de usuario debido a que la funcionalidad del código QR no filtra adecuadamente los códigos cuando escanea un nuevo dispositivo y ejecuta directamente WebView sin preguntar ni mostrárselo al usuario.

Recursos afectados.

Life app 6.7.0

Solución:

Se ha solucionado la vulnerabilidad en versiones posteriores.

Vulnerabilidad en 52North WPS

Se ha identificado una vulnerabilidad que afecta a 52North WPS. Se trata de una vulnerabilidad XXE (XML External Entity) que podría permitir el uso de entidades externas en su servlet WebProcessingService para que un atacante recupere archivos realizando solicitudes HTTP a la red interna.

Recursos afectados:

WPS, versiones anteriores a 4.0.0-beta.11.

Solución:

No hay solución reportada por el momento.

Vulnerabilidad en Kantech Gen1 ioSmart de Johnson Controls

Se ha descubierto una vulnerabilidad de severidad alta en Kantech Gen1 ioSmart de Johnson Controls, cuya explotación podría recuperar la memoria de comunicación del lector entre la tarjeta y el lector.

Recursos afectados:

Kantech Gen1 ioSmart card reader: versiones de firmware anteriores a 1.7.2.

Solución:

Actualizar el firmware de lector de tarjetas a la versión 1.7.2.

Vulnerabilidad en Cambium ePMP Force 300-25

Se ha reportado una vulnerabilidad de severdiad alta en en Cambium ePMP Force 300-25, cuya explotación podría permitir a un atacante remoto ejecutar código en el producto afectado.

Recursos afectados:

ePMP Force 300-25, versión 4.7.0.1.

Solución:

Se recomienda a los usuarios de las versiones afectadas a ponerse en contacto con el servicio de atención al cliente de Cambium para obtener información adicional.

Vulnerabilidad crítica en VisiLogic de Unitronics

Se ha encontrado una vulnerabilidad crítica en VisiLogic de Unitronics. Su explotación podría permitir a un atacante tomar el control administrativo del dispositivo afectado.

Recursos afectados:

VisiLogic, versiones anteriores a 9.9.00

Solución: 

Unitronics ha solucionada la vulnerabilidad en la versión 9.9.00.

Vulnerabilidad crítica en productos de ABB

Se ha descubierto una vulnerabilidad de severidad crítica en Apache ActiveMQ, cuya explotación podría permitir a un atacante remoto, con acceso de red a un broker, ejecutar comandos shell arbitrarios manipulando tipos de clase serializados en el protocolo Open Wire para hacer que el broker instancie cualquier clase en la ruta de clases.

Recursos afectados:

ABB Ability™ Genix 21.1, 22.2, 23.1

Solución:

Actualizar ActiveMQ a las versiones 5.15.16, 5.17.6

Múltiples vulnerabilidades en HPE vTeMIP

Se han notificado múltiples vulnerabilidades, de severidad crítica, alta y media, que afectan a HPE vTeMIP. En caso de explotación de estás vulnerabilidades, un atacante podría corromper la memoria, desbordar la pila de memoria y realizar una denegación de servicio (DoS).

Recursos afectados:

HPE Telecommunication Management Information Platform (vTeMIP), versiones 8.3.x y 8.4.x.

Solución:

Actualizar HPE vTeMIP a la versión 8.5.0 o posteriores.

Vulnerabilidad crítica en FortiMail de Fortinet

Se ha reportado una vulnerabilidad de severidad crítica que afecta a la solución de seguridad de correo electrónico FortiMail. Su explotación podría permitir a un atacante omitir el proceso de autenticación.

Recursos afectados:

FortiMail, versión 7.4.0.

Solución:

Actualizar FortiMail a la versión 7.4.1 o superiores.

Actualización de seguridad de SAP

Se han detectado 14 vulnerabilidades en SAP. De ellas, 1 es de severidad crítica, 4 altas, 7 medias y 2 bajas. Las vulnerabilidades podrían producir problemas de escalada de privilegios, control de acceso inadecuado, Cross-Site Scripting (XSS), divulgación de información y falta de validación.

Recursos afectados:

• Business Technology Platform (BTP) Security Services Integration Libraries:
  • Library-@sap/xssec, versiones anteriores a 3.6.0.
  • Library-cloud-security-services-integration-library, versiones anteriores a 2.17.0 y desde la versión 3.0.0 hasta la versión 3.3.0.
  • Library-sap-xssec, versiones anteriores a 4.1.0.
  • Library-github.com/sap/cloud-security-client-go, versiones anteriores a 0.17.0.

Solución:

Instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Vulnerabilidades en Microsoft

Se han detectado 36 vulnerabilidades en Microsoft. De ellas, 2 son de severidad crítica, 23 de severidad importante y 11 de severidad media. Los fallos podrían producir problemas de denegación de servicio, escalada de privilegios, divulgación de información, ejecución remota de código, suplantación de identidad (spoofing). Además, esta actualización mensual, corrige dos vulnerabilidades 0day, con identificadores CVE-2023-35618  y CVE-2023-36019.

Recursos afectados:

• Azure Connected Machine Agent
• Azure Machine Learning
• Microsoft Bluetooth Driver
• Microsoft Dynamics
• Microsoft Edge (Chromium-based)
• Microsoft Office Outlook
• Microsoft Office Word
• Microsoft Power Platform Connector
• Microsoft WDAC OLE DB provider for SQL
• Microsoft Windows DNS
• Windows Cloud Files Mini Filter Driver
• Windows Defender
• Windows DHCP Server
• Windows DPAPI (Data Protection Application Programming Interface)
• Windows Internet Connection Sharing (ICS)
• Windows Kernel
• Windows Kernel-Mode Drivers
• Windows Local Security Authority Subsystem Service (LSASS)
• Windows Media
• Windows MSHTML Platform
• Windows ODBC Driver
• Windows Telephony Server
• Windows USB Mass Storage Class Driver
• Windows Win32K
• XAML Diagnostics

Solución:

Instalar la actualización de seguridad correspondiente.

Múltiples vulnerabilidades en Amazing Little Poll

Se han descubierto 2 vulnerabilidades que afectan a Amazing Little Poll, un script en PHP para la generación de encuestas.

Recursos afectados:

Amazing Little poll, versiones 1.3 y 1.4.

Solución:

No hay solución reportada por el momento.

Vulnerabilidades en Siemens

Siemens ha publicado 13 nuevos avisos de seguridad, recopilando un total de 437 vulnerabilidades de distintas severidades. Las vulnerabilidades de severidad crítica identificadas podrían producir problemas de inyección de código y múltiples CVE críticos recogidos en SSA-398330.

Recursos afectados:

• RUGGEDCOM RM1224
• SCALANCE M-800, MUM-800 y S615
• SINEC INS
• SINUMERIK Integrate RunMyHMI/Automotive, MC y ONE
• POWER METER SICAM Q100
• SIMATIC PCS neo, PC-Station, STEP 7, CP y S7 CPU
• SINAMICS S210
• SIPLUS NET CP 1543-1
• LOGO! V8.3 BM
• Opcenter Quality
• TIA Portal

Solución:

Las actualizaciones que corrigen las vulnerabilidades identificadas se pueden obtener desde el panel de descargas de Siemens.

Múltiples vulnerabilidades en productos de Schneider Electric

Schneider Electric ha notificado 3 vulnerabilidades, de severidad crítica, alta y media, que podrían permitir una ejecución remota de código.

Recursos afectados:

• Plant iT/Brewmaxx: v9.60 y posteriores.
• Trio Q-Series Ethernet Data Radio:
  • versiones anteriores a 2.7.0
  • todas las versiones
• Trio E-Series Ethernet Data Radio:
  • todas las versiones de modelos ER45e, EB45e, EH45e
  • todas las versiones
• Trio J-Series Ethernet Data Radio: todas las versiones

Solución: 

• Schneider Electric está estableciendo un plan de corrección para todas las futuras versiones de Plant iT.
• La versión 2.7.0 del firmware de Trio Q-Series Data Radio incluye una corrección para la vulnerabilidad CVE-2023-5629 y está disponible para su descarga.

• Los productos Trio Data Radios afectados deben instalarse en lugares seguros.

Múltiples vulnerabilidades en productos de Phoenix Contact

Se han publicado 5 vulnerabilidades, dos de severidad critica y tres altas, en varios productos de Phoenix Contact. Su explotación podría permitir acceso completo al dispositivo afectado o comprometer la integridad de la estación de ingeniería afectada y los dispositivos conectados.

Recursos afectados:

Todas las versiones de:

• MULTIPROG
• ProConOS eCLR (SDK)
• Automation Worx Software Suite
• AXC 1050
• AXC 1050 XC
• AXC 3050
• Config+
• FC 350 PCI ETH
• ILC1x0
• ILC1x1
• CIT 3xx
• PCWorx
• PC Worx Express
• PC WORX RT BÁSICO
• PC WORX SRT
• RFC 430 ETH-IB
• RFC 450 ETH-IB
• RFC 460R PN 3TX
• RFC 470S PN 3TX
• RFC 480S PN 4TX

Versiones anteriores a 2024.0:

• AXC F 1152
• AXC F 2152
• AXC F 3152
• BPC9102S
• CPE 1502
• CPE 1522
• Ingeniero PLCnext
• RFC 4072R
• RFC 4072S

Solución:

El fabricante recomienda seguir las medidas de mitigación indicadas.

Múltiples vulnerabilidades en Repox

Se han descubierto 6 vulnerabilidades que afectan a Repox 2.3.7, un marco para administrar espacios de datos.

Recursos afectados:

Repox, versiones 2.3.7 y anteriores.

Solución:

No hay solución reportada por el momento.

Vulnerabilidades zero-day en productos de Apple

Apple ha informado sobre múltiples vulnerabilidades, algunas de tipo zero-day (con los identificadores CVE-2023-42916 y CVE-2023-42917) que afectan al componente Webkit, que podrían permitir a una aplicación ejecutar código arbitrario con privilegios o provocar una denegación de servicio.

Recursos afectados:

Versiones anteriores a:

• Safari 17.2
• iOS 17.2 and iPadOS 17.2
• iOS 16.7.3 and iPadOS 16.7.3
• macOS Sonoma 14.2
• macOS Ventura 13.6.3
• macOS Monterey 12.7.2
• tvOS 17.2
• watchOS 10.2

Solución:

Actualizar a las últimas versiones disponibles:

• Safari 17.2
• iOS 17.2 and iPadOS 17.2
• iOS 16.7.3 and iPadOS 16.7.3
• macOS Sonoma 14.2
• macOS Ventura 13.6.3
• macOS Monterey 12.7.2
• tvOS 17.2
• watchOS 10.2 

Vulnerabilidad en Apache Struts

Se ha informado sobre una vulnerabilidad crítica que afecta a varias versiones de Apache Struts, cuya explotación podría permitir la ejecución remota de código.

Recursos afectados:

Apache Struts, versiones:

• Desde 2.0.0 hasta 2.3.37 (EOL)
• Desde 2.5.0 hasta 2.5.32
• Desde 6.0.0 hasta 6.3.0

Solución:

Actualizar a las versiones 2.5.33, 6.3.0.2 o posteriores.

Vulnerabilidades en Android

En el boletín de seguridad lanzado por Android se solucionan varias vulnerabilidades, de severidad crítica y alta, que afectan a su sistema operativo, así como múltiples componentes, cuya explotación podría provocar una escalada de privilegios, divulgar información, provocar una denegación de servicio (DoS) o conducir a la ejecución remota de código.

Recursos afectados:

• Android Open Source Project (AOSP): versiones 11, 12, 12L, 13 y 14.
• Componentes del sistema, de la estructura, de MediaTek y de Qualcomm.

Solución:

Actualizar los parches de seguridad publicados por el fabricante.

Vulnerabilidad en productos ControlByWeb

Se ha detectado una vulnerabilidad de severidad alta que afecta a varios dispositivos de ControlByWeb, cuya explotación podría permitir a un atacante autenticado ejecutar código malicioso durante la sesión de un usuario.

Recursos afectados:

Dispositivos ControlByWeb Relay, para las versiones de firmware:

• X-332-24I: 1.06
• X-301-I y X-301-24I: 1.15

Solución:

Actualizar los productos afectados a las versiones:

• X301: 1.20
• X332: 1.09

Vulnerabilidad en productos Johnson Controls

Johnson Controls ha informado sobre una vulnerabilidad de severidad alta que podría permitir que un atacante provoque una denegación de servicio enviando credenciales no válidas.

Recursos afectados:

• Metasys NAE55 engines: versiones anteriores a 12.0.4
• Metasys SNE engines: versiones anteriores a 12.0.4
• Metasys SNC engines: versiones anteriores a 12.0.4
• Facility Explorer F4-SNC: versiones anteriores a 11.0.6
• Facility Explorer F4-SNC: versiones anteriores a 12.0.4

Solución:

Actualizar a las siguientes versiones:

• Metasys NAE55 engines, 12.0.4
• Metasys SNE engines, 12.0.4
• Metasys SNC engines, 12.0.4
• Facility Explorer F4-SNC engine, 11.0.6
• Facility Explorer F4-SNC engine, 12.0.4 

Múltiples vulnerabilidades en JTEKT Electronics

Se ha informado de 4 vulnerabilidades de severidad alta en JTEKT Electronics. Su explotación podría provocar denegación de servicio (DoS) en diferentes servicios.

Recursos afectados:

Todas las versiones de los productos:

• GC-A22W-CW
• GC-A24W-C(W)
• GC-A26W-C(W)
• GC-A24
• GC-A24-M
• GC-A25
• GC-A26
• GC-A26-J2
• GC-A27-C
• GC-A28-C

Solución:

No hay solución reportada por el momento.

Vulnerabilidad en Frauscher FDS102

Se ha detectado una vulnerabilidad de severidad alta en el producto FDS102 de Frauscher, cuya explotación podría permitir la ejecución remota de código.

Recursos afectados:

FDS102 para FAdC/FAdCi, versiones desde 2.10.0 hasta 2.10.1 incluida.

Solución:

Actualizar FDS102 a la versión 2.10.2 o superiores.

Múltiples vulnerabilidades en productos de Dell EMC

Se ha informado de varias vulnerabilidades en productos de Dell EMC que podrían comprometer completamente la aplicación vulnerable y el sistema operativo subyacente, así como la eliminación de datos y archivos arbitrarios.

Recursos afectados:

• Dell EMC Avamar Server versiones: 19.1, 19.2 y 19.3
• Dell EMC Integrated Data Protection Appliance (IDPA) versiones: 2.5 y 2.6

Solución:

Dell ha publicado diferentes hotfix para las versiones y productos afectados.

Múltiples vulnerabilidades en productos de Atlassian

Se han lanzado varios avisos de seguridad que informan sobre algunas vulnerabilidades de severidad crítica que afectan a múltiples productos de Atlassian. La explotación de estas vulnerabilidades podría producir ejecución remota de código.

 Recursos afectados:

• Atlassian Companion App for MacOS para:
  • Confluence Server
  • Confluence Data Center
• Assets Discovery para:
  • Jira Service Management Cloud
  • Jira Service Management Server
  • Jira Service Management Data Center
• Automation for Jira app (incluido Server Lite edition)
• Bitbucket Data Center
• Bitbucket Server
• Confluence Data Center
• Confluence Server
• Confluence Cloud Migration App
• Jira Core Data Center
• Jira Core Server;
• Jira Service Management Data Center
• Jira Service Management Server
• Jira Software Data Center
• Jira Software Server

Solución:

Se recomienda aplicar parches y actualizaciones publicados por Atlassian.

Vulnerabilidad en productos Wago

Se ha informado de una vulnerabilidad de severidad alta en la librería IEC de WagoAppRTU. Su explotación podría causar una denegación de servicio en los equipos afectados.

Recursos afectados:

• Todas las versiones de Telecontrol Configurator
• WagoAppRTU, versiones anteriores a 1.4.6.0

Solución:

La vulnerabilidad se solucionará en la versión 1.4.6.0 de WagoAppRTU, que estará disponible a finales de este año a través del soporte de Wago para finales de año.

Múltiples vulnerabilidades en productos Codesys

Se ha informado de dos vulnerabilidades, de severidad crítica y alta, que podrían permitir a un ataque remoto no autenticado obtener acceso completo al sistema host o inyectar llamadas a funciones adicionales de shell.

Recursos afectados:

• CODESYS V2:
  • CODESYS Development System V2.3 a partir de la versión 2.3.9.45
  • CODESYS SP Realtime NT a partir de la versión V2.3.7.25
• CODESYS V3: los siguientes productos están afectados en todas las versiones anteriores a la 3.5.19.30
  • CODESYS Control RTE (SL)
  • CODESYS Control RTE (for Beckhoff CX) SL
  • CODESYS Control Win (SL)
  • CODESYS HMI (SL)
  • CODESYS Development System
  • CODESYS OPC DA Server SL
• Los siguientes productos están afectados en todas las versiones anteriores a 4.10.0.0:
  • CODESYS Control para Linux ARM SL
  • CODESYS Control para Linux SL
• Los CODESYS Runtime Toolkits (V2 y V3) no incluyen el WIBU CodeMeter Runtime.
• Los siguientes productos están afectados en todas las versiones anteriores a la 3.5.19.50 si se utilizan en un sistema operativo Linux o QNX
  • CODESYS Runtime Toolkit
• Los siguientes productos están afectados en todas las versiones anteriores a 4.11.0.0:
  • CODESYS Control para BeagleBone SL;
  • CODESYS Control para emPC-A/iMX6 SL
  • CODESYS Control para IOT2000 SL
  • CODESYS Control para Linux ARM SL
  • CODESYS Control para Linux SL
  • CODESYS Control para PFC100 SL
  • CODESYS Control para PFC200 SL
  • CODESYS Control para PLCnext SL
  • CODESYS Control para Raspberry Pi SL
  • CODESYS Control para WAGO Touch Panels 600 SL

Solución:

• Actualizar los siguientes productos a la versión 3.5.19.30:
  • CODESYS Control RTE (SL)
  • CODESYS Control RTE (para Beckhoff CX) SL
  • CODESYS Control Win (SL)
  • CODESYS HMI (SL)
  • CODESYS Development System
  • CODESYS OPC DA Server SL
  • CODESYS Runtime Toolkit
• Actualizar los siguientes productos a la versión 4.10.0.0:
  • CODESYS Control para Linux ARM SL
  • CODESYS Control para Linux SL
  • CODESYS Control para BeagleBone SL
  • CODESYS Control para emPC-A/iMX6 SL
  • CODESYS Control para IOT2000 SL
  • CODESYS Control para Linux ARM SL
  • CODESYS Control para Linux SL
  • CODESYS Control para PFC100 SL
  • CODESYS Control para PFC200 SL
  • CODESYS Control para PLCnext SL
  • CODESYS Control para Raspberry Pi SL
  • CODESYS Control para WAGO Touch Panels 600 SL

Vulnerabilidad en Frhed

Se ha descubierto una vulnerabilidad que afecta a Frhed, un editor de archivos binarios para Windows. Su explotación podría permitir a un atacante ejecutar código arbitrario.

Recursos afectados:

Frhed versión 1.6.0

Solución:

No hay solución reportada por el momento.

Vulnerabilidad crítica en productos Hikvision

La vulnerabilidad crítica, de tipo desbordamiento de búfer en productos Hikvision podría permitir a un atacante enviar mensajes maliciosos a equipos instalados con este complemento, lo que podría conducir a la ejecución de código arbitrario o provocar la excepción del proceso del complemento.

Recursos afectados:

• LocalServiceComponents, versiones 1.0.0.78 y anteriores.
• Consultar las versiones afectadas de los distintos productos listados en HSRC-202311-03.

Solución:

• Actualizar LocalServiceComponents a la versión 1.0.0.81.
• Para el resto de productos afectados, visitar la página oficial de Hikvision para obtener la última versión de firmware.

Vulnerabilidad en productos de Eaton

Se ha descubierto una vulnerabilidad de severidad alta en productos de Eaton, que podría permitir a un usuario válido obtener acceso sin restricciones al dispositivo.

Recursos afectados:

• NM3: todas las versiones hasta la 1.0.3
• NM2: todas las versiones hasta la 3.1.8
• G4 ePDU: todas las versiones hasta la 2.4.1
• IPM2: todas las versiones hasta la 2.7.1

Solución:

• Para NM3, actualizar a la versión Eaton Network-M3 firmware v1.0.4.
• Para G4, ePDU actualizar a la versión Eaton G4 Rack PDU firmware v2.4.2.

 Vulnerabilidad crítica en F5 Big-IP de Philips 

Philips ha notificado una vulnerabilidad crítica que afecta a F5 Big-IP. La explotación de esta vulnerabilidad podría permitir a un atacante, no autenticado, ejecutar comandos arbitrarios del sistema.

Recursos afectados:

• IntelliSpace PACS
• Universal Data Manager

Solución:

Philips está en el proceso de validar e implementar el parche.

Vulnerabilidad en productos SRM    

Se han publicado vulnerabilidades de severidad importante que afectan a Synology Router Manager (SRM), cuya explotación podrían permitir a un atacante ejecutar código arbitrario o acceder a recursos de intranet.

Recursos afectados:

• SRM 1.3
• SRM 1.2

Solución:

Synology recomienda actualizar a la última versión disponible:

• SRM 1.3 a la versión 1.3.1-9346-8 o superior
• SRM 1.2 a la versión 1.2.5-8227-11 o superior

Vulnerabilidad en Apache Tomcat

Se ha descubierto una vulnerabilidad de tipo contrabando de solicitudes (request smuggling) HTTP que afecta a varias versiones de Apache Tomcat.

Recursos afectados:

Apache Tomcat, versiones:

• Desde 11.0.0-M1 hasta 11.0.0-M10
• Desde 10.1.0-M1 hasta 10.1.15
• Desde 9.0.0-M1 hasta 9.0.82
• Desde 8.5.0 hasta 8.5.95

Solución:

Actualizar a las siguientes versiones (o posteriores):

• 11.0.0-M11
• 10.1.16
• 9.0.83
• 8.5.96

Vulnerabilidad en Joomla!

Se ha informado de una vulnerabilidad que afecta al core de Joomla! CMS, cuya explotación podría permitir la divulgación de información.

Recursos afectados:

Joomla! CMS, versiones:

• Desde 1.6.0 hasta 4.4.0
• 5.0.0

Solución:

Instalar o actualizar a las versiones 3.10.14-elts, 4.4.1 o 5.0.1.

Múltiples vulnerabilidades en Sierra Wireless ALEOS

Se han reportado 8 vulnerabilidades de severidad alta en Sierra Wireless ALEOS, el sistema operativo de ciertos routers AirLink de Sierra Wireless. Los fallos identificados podrían producir problemas de denegación de servicio, ejecución de script en el lado del cliente, Cross-Site Scripting XSS, credenciales accesibles para usuarios no autorizados, Man in the middle y ejecución remota de código.

Recursos afectados:

Todos los dispositivos router AirLink que ejecuten versiones del software ALEOS anteriores a:

• 4.9.9 (ES450, GX450);
• 4.17.0.12 (MP70, RV50x, RV55, LX40, LX60)

Solución:

Actualizar ALEOS a las versiones:

• 4.17.0.12 (MP70, RV50x, RV55, LX40, LX60)
• 4.9.9 (ES450, GX450)

Múltiples vulnerabilidades en InfraSuite Device Master de Delta Electronics

Se ha informado de 4 vulnerabilidades, de severidad crítica y alta, crítica que podrían permitir a un atacante ejecutar código arbitrario de forma remota y obtener credenciales de texto sin formato en InfraSuite Device Master de Delta Electronics.

Recursos afectados:

InfraSuite Device Master: versiones 1.0.7 y anteriores.

Solución:

Delta Electronics recomienda actualizar su software a la versión 1.0.10 o posterior.

Múltiples vulnerabilidades en Arcserve UDP

Tenable ha notificado 3 vulnerabilidades de severidad crítica que afectan a su producto UDP, cuya explotación podría permitir a un atacante remoto ejecutar código, omitir el proceso de autenticación o acceder a directorios restringidos.

Recursos afectados:

Arcserve UDP (Unified Data Protection), versiones anteriores a 9.2.

Solución:

Actualizar Arcserve UDP a la versión 9.2 o posteriores.

Múltiples vulnerabilidades en WinHex

Se han descubierto dos vulnerabilidades que afectan a WinHex. Las vulnerabilidades detectadas consisten en un desbordamiento de búfer que controla los registros del controlador de excepciones estructurado (SEH). Esto podría permitir a los atacantes ejecutar código arbitrario mediante un argumento de nombre de archivo largo.

Recursos afectados:

• WinHex 16.1 SR-1
• WinHex 20.4

Solución:

Las vulnerabilidades han sido reportadas en la versión v20.8 SR-4.

Múltiples vulnerabilidades en NonStop OSS Network Utilities de HPE

HPE ha notificado dos vulnerabilidades de severidad crítica y baja en NonStop OSS Network Utilities. Estas vulnerabilidades podrían provocar de forma remota la omisión de restricciones de seguridad, vulnerabilidades indirectas y desbordamiento de búfer.

Recursos afectados:

• Para la vulnerabilidad CVE-2023-38546: T1204L01^AAE, T1204L01^AAF y T1204L01^AAH.
• Para la vulnerabilidad CVE-2023-38545: T1204L01-T1204L01^AAB, T1204L01^AAD-T1204L01^AAF y T1204L01^AAH.

Solución: 

HPE ha lanzado actualizaciones de la versión de lanzamiento (RVU) que contienen los SPR afectados:

• 08 – L19.08L20.05 – 21.06L21.11.00 – L21.11.02L22.09.00 L22.09.01L23.08

Vulnerabilidad crítica en productos Netgear

Se ha publicado una vulnerabilidad de severidad crítica que afecta a Prosafe Network Management System de Netgear. Este fallo podría producir problemas de divulgación de información confidencial.

Recursos afectados:

Prosafe Network Management System, versiones anteriores a 1.7.0.34.

Solución:

NETGEAR recomienda a los usuarios afectados descargar la última versión de NMS300 (1.7.0.34) lo antes posible.

Vulnerabilidad crítica en WIBU Codemeter de Festo

Se ha descubierto una vulnerabilidad de severidad crítica de desbordamiento del búfer de montón en WIBU Codemeter de Festo. Su explotación podría permitir que un atacante remoto no autenticado alcance RCE y obtenga acceso completo al sistema host.

Recursos afectados:

• CIROS 6 Studio / Education, desde la v6.0.0 hasta la v6.4.6 (incluida)
• CIROS 7 Studio / Education, desde la v7.0.0 hasta la v7.1.7 (incluida)
• Energy-PC, todas las versiones
• Festo Automation Suite, v2.6.0.481 y anteriores
• FluidDraw 365, v7.0a y anteriores
• FluidDraw P6, v6,2k y anteriores
• FluidSIM, v5.
• FluidSIM, desde la v6 hasta la 6.1c (incluida)
• MES4, v3 y anteriores
• MES-PC, versiones anteriores a diciembre 2023

Solución:

• Festo Automation Suite tiene previsto publicar una solución para mediados de 2024.

• Para el resto de productos afectados, actualizar Codemeter a la versión 7.60c o posterior.

by