Alertas de seguridad - Diciembre 2023

Alertas de seguridad – Enero 2024

Múltiples vulnerabilidades en productos Pilz

Se han notificado 2 vulnerabilidades de severidad alta que afectan a Pilz, cuya explotación podría permitir a un atacante tomar el control total del sistema afectado.

Recursos afectados:

  • PASvisu, versiones anteriores a 1.14.1.
  • PMI v8xx, versiones 2.0.33992 y anteriores.

Solución:

Instalar las versiones correctoras de los productos afectados tan pronto sea posible.

Múltiples vulnerabilidades en productos Mitsubishi Electric

Se han identificado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, en productos Mitsubishi Electric. Estos fallos podrían permitir a un atacante omitir mecanismos de autenticación y ejecutar código malicioso remotamente.

Recursos afectados:

  • EZSocket, versiones 3.0 y posteriores
  • FR Configurator2, todas las versiones
  • GT Designer3 Version1(GOT1000), todas las versiones
  • GT Designer3 Version1(GOT2000), todas las versiones
  • GX Works2, versiones 1.11M y posteriores
  • GX Works3, todas las versiones
  • MELSOFT Navigator, versiones 1.04E y posteriores
  • MT Works2, todas las versiones
  • MX Component 4.00A, versiones y posteriores
  • MX OPC Server DA/UA ( software empaquetado con  MC Works64), todas las versiones

Solución:

Se recomienda tomar medidas de mitigación para minimizar el riesgo de explotar estas vulnerabilidades.

Múltiples vulnerabilidades en productos CoDe16

Se han publicado 16 vulnerabilidades, 13 de severidad alta y 3 medias, que afectan a varios productos CoDe16. Su explotación podría provocar la ejecución remota de código o una denegación de servicio.

Recursos afectados:

  • Control block CPX-CEC-C1-V3 (HW <= 8), v4.0.4 y anteriores
  • Control block CPX-CEC-M1-V3 (HW <= 8), v4.0.4 y anteriores
  • Control block CPX-CEC-S1-V3 (HW <= 8), v4.0.4 y anteriores
  • Control block CPX-E-CEC-C1-EP (HW < 8), v2.2.14
  • Control block CPX-E-CEC-C1-EP (HW >= 8), v3.2.10
  • Control block CPX-E-CEC-C1 (HW <= 5), v10.1.4 y anteriores
  • Control block CPX-E-CEC-C1-PN (HW < 8), v2.2.14
  • Control block CPX-E-CEC-C1-PN (HW >= 8), v3.2.10
  • Control block CPX-E-CEC-M1-EP (HW < 8), v2.2.14
  • Control block CPX-E-CEC-M1-EP (HW >= 8), v3.2.10
  • Control block CPX-E-CEC-M1 (HW <= 5) , v10.1.4 y anteriores
  • Control block CPX-E-CEC-M1-PN (HW < 8), v2.2.14
  • Control block CPX-E-CEC-M1-PN (HW >= 8), v3.2.10
  • Controller CECC-D-BA (HW <=7), v2.4.2 y anteriores
  • Controller CECC-D-CS (HW <=7), v2.4.2 y anteriores
  • Controller CECC-D (HW <= 7), v2.4.2 y anteriores
  • Controller CECC-LK (HW <= 7), v2.4.2 y anteriores
  • Controller CECC-S (HW <= 7), v2.4.2 y anteriores
  • Controller CECC-X-M1 (Gen3), v3.8.18 y anteriores
  • Controller CECC-X-M1 (Gen4), v4.0.18 y anteriores
  • Controller CECC-X-M1-MV (Gen3), v3.8.18 y anteriores
  • Controller CECC-X-M1-MV (Gen4), v4.0.18 y anteriores
  • Controller CECC-X-M1-MV-S1 (Gen3), v3.8.18 y anteriores
  • Controller CECC-X-M1-MV-S1 (Gen4), v4.0.18 y anteriores
  • Operator unit CDPX-X-A-S-10, v3.5.7.159 y anteriores
  • Operator unit CDPX-X-A-W-13, v3.5.7.159 y anteriores
  • Operator unit CDPX-X-A-W-4, v.5.7.159 y anteriores
  • Operator unit CDPX-X-A-W-7, v3.5.7.159 y anteriores
  • Operator unit CDPX-X-E1-W-10, v3.5.7.159 y anteriores
  • Operator unit CDPX-X-E1-W-15, v3.5.7.159 y anteriores
  • Operator unit CDPX-X-E1-W-7, v3.5.7.159 y anteriores

Solución:

La actualización está prevista para finales del tercer trimestre de 2024.

Múltiples vulnerabilidades en productos TRUMPF

Se ha informado 2 vulnerabilidades de severidad crítica que afectan a varios productos TROMPF. La explotación de estas vulnerabilidades podría permitir a un atacante obtener acceso completo al servidor o estación de trabajo afectados.

Recursos afectados:

  • MonitoringAnalyzer, versiones 1.0 <= 1.3
  • Oseon, versiones 1.0.0 <= 3.0.24
  • ProgrammingTube, versiones 1.0.1 <= 4.11.0
  • TecZoneBend, versiones 18.02.R8 <= 23.11
  • Tops Unfold, versión 05.03.00.00
  • TrumpfLicenseExpert, versiones 1.5.2 <= 2.0.0
  • TruTops, versiones 08.00 <= 12.01.00.00
  • TruTopsBoost, versiones 06.00.23.00 <= 16.0.24
  • TruTopsCalculate, versiones 14.00 <= 23.00.00
  • TruTops Cell Classic, versiones <= 09.09.02
  • TruTops Cell SW48, versiones 01.00 <= 02.32.12
  • TruTopsFab (inkl.TruTops Monitor), versiones 15.00.23.00 <= 22.8.25
  • TruTopsFab Storage SmallStore, versiones 14.06.20 <= 20.04.20.00
  • TruTops Mark 3D, versiones 01.00 <= 06.2
  • TruTopsPrint, versiones 00.06.00 <= 01.00
  • TruTopsPrintMultilaserAssistant, versiones <= 01.02
  • TruTopsWeld, versiones 7.0.198.241 <= 9.0.28148.1
  • TubeDesign, versiones 08.00 <= 14.11.199

Solución:

Actualizar el software TRUMPF License Expert a las versiones 2.1.0 o posteriores.

Múltiples vulnerabilidades en productos SE-elektronic GmbH

Se han publicado dos vulnerabilidades de severidad crítica que afectan a SE-elektronic GmbH. En el caso de que estos fallos sean explotados (CVE-2024-1014 y CVE-2024-1015) podrían provocar que un atacante irrumpa la disponibilidad del panel de administración enviando múltiples paquetes ICMP o enviar diferentes comandos del sistema operativo al sistema a través de la funcionalidad de configuración web del dispositivo.

Recursos afectados:

E-DDC3.3, versiones 03.07.03 y posteriores.

Solución:

No hay solución reportada por el momento.

Vulnerabilidad crítica en productos de SystemK

Se ha descubierto una vulnerabilidad des severidad crítica en productos de SystemK, cuya explotación podría permitir a un atacante ejecutar comandos con privilegios de root.

Recursos afectados:

Las siguientes versiones de NVR de SystemK, un grabador de vídeo en red, están afectadas:

  • NVR 504: 2.3.5SK.30084998
  • NVR 508: 2.3.5SK.30084998
  • NVR 516: 2.3.5SK.30084998

Solución:

Se recomienda a los usuarios de las versiones afectadas de los productos NVR de SystemK a ponerse en contacto con el servicio de atención al cliente de SystemK para obtener información adicional.

Vulnerabilidad crítica en productos de Cisco

Cisco ha publicado una vulnerabilidad de severidad crítica que podría permitir a un atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario de servicios web. Con acceso al sistema operativo subyacente, el atacante también podría establecer acceso root en el dispositivo afectado.

Recursos afectados:

En productos Cisco Unified Communications y Contact Center Solutions:

  • Packaged Contact Center Enterprise (PCCE) (CSCwe18830)
  • Unified Communications Manager (Unified CM) (CSCwd64245)
  • Unified Communications Manager IM & Presence Service (Unified CM IM&P) (CSCwd64276)
  • Unified Communications Manager Session Management Edition (Unified CM SME) (CSCwd64245)
  • Unified Contact Center Enterprise (UCCE) (CSCwe18830)
  • Unified Contact Center Express (UCCX) (CSCwe18773)
  • Unity Connection (CSCwd64292)
  • Virtualized Voice Browser (VVB) (CSCwe18840)

Solución:

Cisco ha lanzado actualizaciones de software para abordar esta vulnerabilidad.

Vulnerabilidad crítica en Jenkins

Jenkins ha identificado una vulnerabilidad de severidad crítica que afecta al núcleo del sistema y su explotación podría provocar una ejecución remota de código.

Recursos afectados:

Versiones Jenkins 2.441, LTS 2.426.2 y anteriores.

Solución:

Actualizar a la versión Jenkins 2.442, LTS 2.426.3.

Múltiples vulnerabilidades en productos Intesis

Se ha informado de 3 vulnerabilidades, 1 de severidad crítica y 2 altas, que afectan a productos de la compañía Intesis. La explotación de estos fallos podría permitir ataques man-in-the-middle, denegación de servicio (DoS) o ejecución remota de código (RCE).

Recursos afectados:

Las vulnerabilidades se han detectado en MQX RTOS y la pila UDP, afectando a distintos modelos y versiones de firmware de los productos Intesis BACnet AC Interfaces e Intesis Protocol Translators. Consultar los productos afectados aquí.

Solución:

Se recomienda actualizar los productos afectados a versiones superiores. Alternativamente, se puede desactivar DHCP y establecer una configuración IP fija.

Múltiples vulnerabilidades en ViewPower Pro de Voltronic Power  

Se han detectado 4 vulnerabilidades, 3 de severidad crítica y 1 alta, que afectan a ViewPower Pro de Voltronic Power. Estos fallos podrían permitir a un atacante crear una condición de denegación de servicio, obtener credenciales de administrador o lograr la ejecución remota de código.

Recursos afectados:

ViewPower Pro, versión 2.0-22165.

Solución:

Se recomienda a los usuarios de los productos afectados que se pongan en contacto con Voltronic Power y mantengan sus sistemas actualizados.

Vulnerabilidad en Osimis DICOM Web Viewer de Orthanc

Se ha notificado una vulnerabilidad de severidad alta, de tipo XSS, que afecta al producto de visualización de imágenes médicas Osimis Web Viewer de Orthanc. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante ejecutar código JavaScript arbitrario dentro del navegador de la potencial víctima.

Recursos afectados:

Osimis WebViewer, versión 1.4.2.0-9d9eff4

Solución:

Orthanc recomienda a los usuarios solucionar esta vulnerabilidad actualizando las imágenes Docker y los instaladores de Windows a la versión 24.1.2 o superior de Orthanc.

Vulnerabilidad en Crestron AM-300

Se ha informado de una vulnerabilidad de severidad alta que afecta a Crestron AM-300, cuya explotación podría permitir a un atacante escalar sus privilegios para obtener acceso de nivel root.

Recursos afectados:

AM-300: versión 1.4499.00018

Solución:

Crestron ha resuelto esta vulnerabilidad en la versión de firmware 1.4499.00023.001 y posterior.

Vulnerabilidad en productos de APsystems

Se ha identificado una vulnerabilidad de severidad alta, de control de acceso inadecuado, en productos de APsystems. Este fallo podría permitir a un atacante acceder a datos sensibles y ejecutar comandos y funciones específicas con plenos derechos de administrador sin autenticarse.

Recursos afectados:

Los siguientes modelos y versiones de Energy Communication Unit Power Control Software están afectados:

  • C1.2.2
  • v3.11.4
  • W2.1.NA
  • v4.1SAA
  • v4.1NA

Solución:

Se recomienda a los usuarios de los productos afectados que se pongan en contacto con APSystems para obtener información adicional.

Múltiples vulnerabilidades en Lynx 206-F2G de Westermo

Se han reportado 8 vulnerabilidades, 2 altas y 6 medias, en Lynx 206-F2G de Westermo. La explotación de estas vulnerabilidades podría permitir a un atacante acceder a la aplicación web, inyectar código arbitrario, ejecutar código malicioso, obtener información sensible o ejecutar una petición maliciosa.

Recursos afectados:

Están afectadas las siguientes versiones de Lynx 206-F2G:

  • Modelo L206-F2G1
  • Versión de firmware 4.24

Solución:

Westermo recomienda seguir las mejores prácticas de endurecimiento, como restringir el acceso, desactivar los servicios no utilizados (reducción de la superficie de ataque), etc., para mitigar las vulnerabilidades notificadas.

Vulnerabilidad crítica en GoAnywhere MFT de Fortra  

Se ha detectado una vulnerabilidad de severidad crítica en GoAnywhere MFT de Fortra que podría permitir a un ciberdelincuente crear un usuario administrador a través del portal de administración.

Recursos afectados:

Fortra GoAnywhere MFT, desde la versión 6.0.1 hasta la versión 7.4.1.

Solución:

Se recomienda actualizar a la versión 7.4.1 o superior.

Actualizaciones críticas en Oracle

Oracle ha publicado una actualización crítica que soluciona 389 vulnerabilidades, algunas de las cuales son críticas, que afectan a múltiples productos.

Recursos afectados:

  • Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers, versiones anteriores a XCP2430, XCP3130 y XCP4040
  • GoldenGate Big Data and Application Adapters, versiones 19.1.0.0.0-19.1.0.0.16, 21.3-21.12
  • Integrated Lights Out Manager (ILOM), versiones 3, 4, 5
  • JD Edwards EnterpriseOne Orchestrator, versiones anteriores a 9.2.8.0
  • JD Edwards EnterpriseOne Tools, versiones anteriores a 9.2.8.1
  • MySQL Cluster, versiones 7.5.32 y anteriores, 7.6.28 y anteriores, 8.0.35 y anteriores, 8.1.0, 8.2.0 y anteriores
  • MySQL Connectors, versiones 8.0.35 y anteriores, 8.2.0 y anteriores
  • MySQL Enterprise Monitor, versiones 8.0.36 y anteriores
  • MySQL Server, versiones 8.0.35 y anteriores, 8.1.0, 8.2.0 y anteriores
  • MySQL Workbench, versiones 8.0.34 y anteriores
  • Oracle Access Manager, versión 12.2.1.4.0
  • Oracle Agile PLM, versión 9.3.6
  • Oracle Agile Product Lifecycle Management for Process, versiones anteriores a 6.2.4.2
  • Oracle Analytics Desktop, versiones 6.4.0.0.0, anteriores a 7.2
  • Oracle Application Testing Suite, versión 13.3.0.1
  • Oracle Audit Vault and Database Firewall, versiones 20.1-20.9
  • Oracle Banking APIs, versiones 19.1.0, 21.1.0, 22.1.0, 22.2.0
  • Oracle Banking Branch, versiones 14.5.0-14.7.0
  • Oracle Banking Cash Management, versiones 14.5.0-14.7.0
  • Oracle Banking Collections and Recovery, versiones 14.5.0-14.7.0
  • Oracle Banking Corporate Lending Process Management, versiones 14.5.0-14.7.0
  • Oracle Banking Credit Facilities Process Management, versiones 14.5.0-14.7.0
  • Oracle Banking Digital Experience, versiones 19.1.0, 21.1.0, 22.1.0, 22.2.0
  • Oracle Banking Electronic Data Exchange for Corporates, versiones 14.5.0-14.7.0
  • Oracle Banking Enterprise Default Management, versiones 14.5.0-14.7.0
  • Oracle Banking Extensibility Workbench, versiones 14.5.0-14.7.0
  • Oracle Banking Liquidity Management, versiones 14.5.0-14.7.0, 14.7.0.3.0
  • Oracle Banking Origination, versiones 14.5.0-14.7.0
  • Oracle Banking Party Management, versiones 14.5.0-14.7.0
  • Oracle Banking Supply Chain Finance, versiones 14.5.0-14.7.0
  • Oracle Banking Trade Finance Process Management, versiones 14.5.0-14.7.0
  • Oracle Banking Virtual Account Management, versiones 14.5.0-14.7.0
  • Oracle BI Publisher, versiones 6.4.0.0.0, 7.0.0.0.0, 12.2.1.4.0
  • Oracle Big Data Spatial and Graph, versión 3.0.4
  • Oracle Business Intelligence Enterprise Edition, versiones 6.4.0.0.0, 7.0.0.0.0, 12.2.1.4.0
  • Oracle Business Process Management Suite, versión 12.2.1.4.0
  • Oracle Coherence, versiones 12.2.1.4.0, 14.1.1.0.0
  • Oracle Commerce Guided Search, versión 11.3.2
  • Oracle Commerce Platform, versión 11.3.2
  • Oracle Communications ASAP, versión 7.4
  • Oracle Communications Billing and Revenue Management, versiones 12.0.0.4.0-12.0.0.8.0, 15.0.0.0.0
  • Oracle Communications BRM – Elastic Charging Engine, versiones 12.0.0.4-12.0.0.8
  • Oracle Communications Cloud Native Core Automated Test Suite, versiones 23.1.3, 23.2.1, 23.3.0
  • Oracle Communications Cloud Native Core Console, versiones 23.3.0, 23.3.1
  • Oracle Communications Cloud Native Core Network Data Analytics Function, versiones 23.3.0, 23.4.0
  • Oracle Communications Cloud Native Core Network Exposure Function, versión 23.3.1
  • Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versiones 23.1.0, 23.2.0, 23.3.1
  • Oracle Communications Cloud Native Core Network Repository Function, versiones 23.1.4, 23.3.1
  • Oracle Communications Cloud Native Core Network Slice Selection Function, versiones 23.2.0, 23.3.1
  • Oracle Communications Cloud Native Core Security Edge Protection Proxy, versiones 23.1.0, 23.2.0, 23.3.0
  • Oracle Communications Cloud Native Core Unified Data Repository, versión 23.3.1
  • Oracle Communications Convergence, versiones 3.0.3.2, 3.0.3.3
  • Oracle Communications Convergent Charging Controller, versiones 6.0.1.0.0, 12.0.1.0.0-12.0.6.0.0, 15.0.0.0.0
  • Oracle Communications Diameter Signaling Router, versiones 8.6.0.0, 9.0.0.0
  • Oracle Communications Element Manager, versiones 9.0.0.0.0-9.0.2.0.1, 9.4.53
  • Oracle Communications Fraud Monitor, versiones 5.0, 5.1
  • Oracle Communications Instant Messaging Server, versión 10.0.1.7.0
  • Oracle Communications IP Service Activator, versiones 7.4.0, 7.5.0
  • Oracle Communications Messaging Server, versión 8.1.0.24.0
  • Oracle Communications MetaSolv Solution, versión 6.3.1.0.0
  • Oracle Communications Network Analytics Data Director, versiones 23.2.0.0.2, 23.3.0.0.0
  • Oracle Communications Network Charging and Control, versiones 6.0.1.0.0, 12.0.1.0.0-12.0.6.0.0, 15.0.0.0.0
  • Oracle Communications Order and Service Management, versiones 7.4.0, 7.4.1
  • Oracle Communications Policy Management, versiones 12.6.1.0.0, 15.0.0.0.0
  • Oracle Communications Pricing Design Center, versiones 12.0.0.4.0-12.0.0.8.0, 15.0.0.0.0
  • Oracle Communications Service Catalog and Design, versiones 7.4.0.7.0, 7.4.1.5.0, 7.4.2.8.0
  • Oracle Communications Session Report Manager, versiones 9.0.0.0.0-9.0.2.0.1, 9.4.53
  • Oracle Communications Unified Assurance, versiones 5.0.0-5.5.19, 6.0.0-6.0.3
  • Oracle Communications Unified Inventory Management, versiones 7.4.0, 7.4.1, 7.4.2
  • Oracle Complex Maintenance, Repair, and Overhaul, versiones 11.5, 12.1, 12.2
  • Oracle Database Server, versiones 19.3-19.21, 21.3-21.12, 22.3-23.8, 23.9.0-23.9.4, 23.10
  • Oracle E-Business Suite, versiones 12.2.3-12.2.13
  • Oracle Enterprise Data Quality, versión 12.2.1.4.0
  • Oracle Enterprise Manager Base Platform, versión 13.5.0.0
  • Oracle Enterprise Manager for Fusion Middleware, versión 13.5.0.0
  • Oracle Enterprise Manager for Oracle Database, versión 13.5.0.0
  • Oracle Enterprise Manager for Oracle Virtual Infrastructure, versión 13.5.0.0
  • Oracle Enterprise Manager for Virtualization, versión 13.5.0.0
  • Oracle Enterprise Manager Ops Center, versión 12.4.0.0
  • Oracle Essbase, versión 21.5.3.0.0
  • Oracle Financial Services Analytical Applications Infrastructure, versiones 8.0.7, 8.0.8, 8.0.9, 8.1.0, 8.1.1, 8.1.2
  • Oracle Financial Services Behavior Detection Platform, versiones 8.0.8.1, 8.1.1.1, 8.1.2.5, 8.1.2.6
  • Oracle Financial Services Compliance Studio, versión 8.1.2.5
  • Oracle Financial Services Enterprise Case Management, versiones 8.0.8.2, 8.1.1.1, 8.1.2.5, 8.1.2.6
  • Oracle Financial Services Lending and Leasing, versiones 14.5.0-14.7.0
  • Oracle Financial Services Revenue Management and Billing, versiones 2.7.1, 2.8.0, 2.9.0, 2.9.1, 3.0.0-3.2.0, 4.0.0, 5.0.0, 5.1.0, 6.0.0
  • Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition, versión 8.0.8
  • Oracle FLEXCUBE Enterprise Limits and Collateral Management, versiones 14.5.0-14.7.0
  • Oracle FLEXCUBE Investor Servicing, versiones 14.5.0-14.7.0
  • Oracle FLEXCUBE Private Banking, versiones 14.5.0-14.7.0
  • Oracle Fusion Middleware, versión 12.2.1.4.0
  • Oracle Global Lifecycle Management OPatch, versiones anteriores a 12.2.0.1.40
  • Oracle GoldenGate, versiones 19.1.0.0.0-19.1.0.0.231017, 21.3-21.12
  • Oracle GoldenGate Studio, versión 12.2.0.4.0
  • Oracle GraalVM Enterprise Edition, versiones 20.3.12, 21.3.8, 22.3.4
  • Oracle GraalVM for JDK, versiones 17.0.9, 21.0.1
  • Oracle Graph Server and Client, versiones anteriores a 22.4.6 y 23.4.0
  • Oracle HTTP Server, versión 12.2.1.4.0
  • Oracle Hyperion Calculation Manager, versión 11.2.14.0.0
  • Oracle Hyperion Financial Data Quality Management, Enterprise Edition, versión 11.2.14.0.0
  • Oracle Hyperion Financial Management, versión 11.2.14.0.0
  • Oracle Hyperion Financial Reporting, versión 11.2.14.0.0
  • Oracle Hyperion Infrastructure Technology, versión 11.2.14.0.0
  • Oracle Hyperion Planning, versión 11.2.14.0.0
  • Oracle Identity Manager, versión 12.2.1.4.0
  • Oracle Java SE, versiones 8u391, 8u391-perf, 11.0.21, 17.0.9, 21.0.1
  • Oracle JDeveloper, versión 12.2.1.4.0
  • Oracle Managed File Transfer, versión 12.2.1.4.0
  • Oracle Middleware Common Libraries and Tools, versión 12.2.1.4.0
  • Oracle NoSQL Database, versiones anteriores a 1.6, 19.5.40, 20.3.38, 21.2.30, 22.3.94 y 23.1.29
  • Oracle Outside In Technology, versión 8.5.6
  • Oracle REST Data Services, versiones anteriores a 23.3.0
  • Oracle Retail Advanced Inventory Planning, versiones 15.0.3, 16.0.3
  • Oracle Retail Customer Management and Segmentation Foundation, versiones 18.0.0.14, 19.0.0.8
  • Oracle Retail EFTLink, versiones 20.0.1, 21.0.0-23.0.0
  • Oracle Secure Backup, versiones anteriores a 18.1.0.2.0
  • Oracle Service Bus, versión 12.2.1.4.0
  • Oracle SOA Suite, versión 12.2.1.4.0
  • Oracle Solaris, versión 11
  • Oracle SQL Developer, versiones 21.4.2, 22.2.0, 23.1.0
  • Oracle Utilities Network Management System, versiones 2.3.0.2, 2.4.0.1, 2.5.0.1, 2.5.0.2, 2.6.0.0, 2.6.0.1
  • Oracle Utilties Application Framework, versiones 4.3.0.3.0-4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0, 4.4.0.3.0, 4.5.0.0.0, 4.5.0.1.1, 4.5.0.1.3
  • Oracle WebCenter Content, versión 12.2.1.4.0
  • Oracle WebCenter Portal, versión 12.2.1.4.0
  • Oracle WebCenter Sites, versión 12.2.1.4.0
  • Oracle WebLogic Server, versiones 12.2.1.4.0, 14.1.1.0.0
  • Oracle ZFS Storage Appliance Kit, versión 8.8
  • PeopleSoft Enterprise PeopleTools, versiones 8.59, 8.60, 8.61
  • Primavera P6 Enterprise Project Portfolio Management, versiones 19.12.0-19.12.22, 20.12.0-20.12.20, 21.12.0-21.12.17, 22.12.0-22.12.10
  • Primavera Unifier, versiones 19.12.0-19.12.16, 20.12.0-20.12.16, 21.12.0-21.12.17, 22.12.0-22.12.11Siebel Applications, versiones anteriores a 23.12
  • TimesTen In-Memory Database, versiones anteriores a 21.1.1.19.0 y 22.1.1.19.0

Solución:

Aplicar los parches correspondientes según los productos afectados.

Vulnerabilidades 0day en productos de Apple

Apple ha informado sobre varias vulnerabilidades, algunas de tipo 0day (CVE-2024-23222, CVE-2023-42916 y CVE-2023-42917) que afectan al componente WebKit, que podrían permitir a un atacante ejecutar código arbitrario, descifrar textos cifrados RSA PKCS#1 v1.5 heredados, acceder a información sensible, robar el fingerprint de un usuario, explotar fallos en curl, omitir preferencias de seguridad o leer archivos arbitrarios, entre otras acciones.

Recursos afectados:

Versiones anteriores a:

  • tvOS 17.3
  • Safari 17.3
  • macOS Monterey 12.7.3
  • macOS Ventura 13.6.4
  • iOS 17.3 e iPadOS 17.3
  • watchOS 10.3
  • macOS Sonoma 14.3
  • iOS 15.8.1 e iPadOS 15.8.1
  • iOS 16.7.5 e iPadOS 16.7.5

Solución:

Actualizar a las últimas versiones disponibles:

  • tvOS 17.3
  • Safari 17.3
  • macOS Monterey 12.7.3
  • macOS Ventura 13.6.4
  • iOS 17.3 e iPadOS 17.3
  • watchOS 10.3
  • macOS Sonoma 14.3
  • iOS 15.8.1 e iPadOS 15.8.1
  • iOS 16.7.5 e iPadOS 16.7.5

Múltiples vulnerabilidades en Cups Easy

Se han publicado 42 vulnerabilidades de severidad alta que afectan a Cups Easy, un software de compras e inventario basado en PHP, que podrían permitir a un atacante remoto enviar una URL especialmente diseñada a un usuario autenticado y robar sus credenciales de cookie de sesión.

Recursos afectados:

Cups Easy (Purchase & Inventory), versión 1.0.

Solución:

No hay solución reportada por el momento.

Múltiples vulnerabilidades en WIBU-SYSTEMS CodeMeter Runtime de Wago

Se han identificado 2 vulnerabilidades de severidad crítica en WIBU-SYSTEMS CodeMeter Runtime de Wago, que podrían realizar una escritura fuera de los límites o una información insuficiente.

Recursos afectados:

  • Todos los paquetes de instalación del software de ingeniería WAGO e!COCKPIT, versiones V1.11.2.0 y anteriores.
  • Instalación del software de ingeniería WAGO-I/O-Pro (CODESYS 2.3), desde la versión 2.3.9.45 hasta la 2.3.9.70.

Solución:

Se recomienda deshabilitar el uso del proxy SOCKS5.

Múltiples vulnerabilidades en Oseon de Trumpf

Se han detectado 8 vulnerabilidades, 1 de severidad crítica, 3 altas y 4 medias, que su explotación podría afectar al desbordamiento de búfer.

Recursos afectados:

  • Oseon, v3.2, v3.0.24 y anteriores
  • TruTops Fab (Storage), v22.7 y anteriores
  • Boost, v16.5 y anteriores
  • FAB-Boost mixed installation y FAB (Storage), v22.7 y anteriores
  • Oseon-Boost mixed installation, v3.5 y anteriores
  • Oseon (Storage), v3.5 y anteriores
  • TruTops Cell, v2.31.0 y anteriores
  • TruTops Classic, v12.1 y anteriores
  • TruTops Mark, v6.2 y anteriores

Solución:

Se recomienda contactar con TRUMPF.

Vulnerabilidad crítica en VMware Aria Automation

VMware ha informado sobre una vulnerabilidad de severidad crítica. Si un atacante autenticado lograse explotar este fallo, podría provocar el acceso no autorizado a organizaciones y flujos de trabajo remotos.

Recursos afectados:

  • VMware Aria Automation ( formerly vRealize Automation)
  • VMware Cloud Foundation (Aria Automation)

Solución:

Se recomienda actualizar a las versiones indicadas en su aviso oficial.

Múltiples vulnerabilidades en productos Cires21

Se han publicado dos vulnerabilidades de severidad crítica (CVE-2024-0642 y CVE-2024-0643) que afectan a Cires21 Live Encoder y Live Mosaic. En caso de ser explotadas, podrían permitir a un atacante remoto acceder a la aplicación como usuario administrador a través del punto final de la aplicación, y cargar diferentes extensiones de archivo sin ninguna restricción.

Recursos afectados:

C21 Live encoder y Live Mosaic, versión 5.3.

Solución:

Las vulnerabilidades han sido resueltas en la última versión de software de los productos afectados.

Vulnerabilidad en Explorer++

Se ha descubierto una vulnerabilidad de severidad alta en Explorer++ , que podría dar lugar a una ejecución de digo arbitrario a través de un argumento de nombre de archivo largo.

Recursos afectados:

Explorer++.exe, versión 1.3.5.531.

Solución:

No hay solución reportada por el momento.

Múltiples vulnerabilidades en ABB

ABB ha identificado 16 vulnerabilidades, una de severidad alta y el resto medias. La explotación exitosa de estos fallos podría provocar una denegación de servicio o que la integridad del sistema de ejecución se vea comprometida por los archivos cargados en el controlador.

Recursos afectados:

Todos los productos AC500 V3 con una versión de firmware inferior a 3.7.0.

Solución:

ABB ha desarrollado una nueva versión de firmware 3.7.0 que corrige estas vulnerabilidades.

Vulnerabilidad en Sandsprite

Se ha publicado una vulnerabilidad de severidad alta que afecta a scdbg de Sandsprite. Este fallo podría permitir a un atacante enviar una carga útil de código shell especialmente diseñada al parámetro ‘/foff’ y provocar el cierre de la aplicación.

Recursos afectados:

Scdbg, versión 1.0.

Solución:

Se recomienda actualizar a la última versión de software del producto afectado.

Múltiples vulnerabilidades en productos de Atlassian

Se han detectado 28 vulnerabilidades de severidad alta, en la que destacan dos (CVE-2023-22526 y CVE-2024-21672), que podrían permitir la ejecución remota de código en el centro de datos y el servidor de Confluence. También se ha publicado una vulnerabilidad de severidad crítica que podría permitir a un atacante, no autenticado, lograr RCE en una versión afectada.

Recursos afectados:

  • Confluence Data Center, versión 7.19.0 (CVE-2023-22526)
  • Confluence Data Center y Server, versión 2.1.0 (CVE-2024-21672)

Solución:

Aplicar parches y actualizaciones publicados por Atlassian.

Vulnerabilidad crítica en Squid

Se ha publicado una vulnerabilidad de severidad crítica que podría provocar una denegación de servicio en Squid.

Recursos afectados:

squid 4.6-1+deb10u9

Solución:

Se recomienda actualizar la herramienta para solucionar la vulnerabilidad.

Actualización de seguridad de SAP

Se han detectado 10 vulnerabilidades en SAP. De ellas, 2 son de severidad crítica, 4 de severidad alta y el resto medias y bajas. La vulnerabilidad de severidad crítica y medias podrían producir problemas de escalada de privilegios, inyección de código, denegación de servicio y divulgación de información.

Recursos afectados:

  • SAP Business Application Studio, SAP Web IDE Full-Stack y SAP Web IDE for SAP HANA:
    • Library- @sap/xssec, versiones anteriores a la 3.6.0.
    • Library- @sap/approuter, versión 14.4.2.
  • SAP Edge Integration Cell, versión 8.9.13 y anteriores.

Solución:

Instalar las actualizaciones o los parches necesarios, según indique el fabricante.

Vulnerabilidades en Microsoft

Se han detectado 48 vulnerabilidades en Microsoft. De ellas, 2 son de severidad crítica, 26 de severidad importante y 20 de severidad media. Los fallos críticos publicados podrían producir problemas de elusión de funciones de seguridad.

Recursos afectados:

  • Unified Extensible Firmware Interface
  • Windows Themes
  • Windows Online Certificate Status Protocol (OCSP) SnapIn
  • Windows TCP/IP
  • Windows Collaborative Translation Framework
  • Windows Hyper-V
  • Windows Cryptographic Services
  • Windows Local Security Authority Subsystem Service (LSASS)
  • Microsoft Bluetooth Driver
  • Windows Server Key Distribution Service
  • Windows Message Queuing
  • Windows Nearby Sharing
  • Windows BitLocker
  • Microsoft Identity Services
  • Windows Group Policy
  • Windows Libarchive
  • Windows Scripting
  • .NET Core & Visual Studio
  • Windows AllJoyn API
  • Remote Desktop Client
  • .NET Framework
  • Windows Common Log File System Driver
  • Visual Studio
  • Microsoft Virtual Hard Drive
  • Microsoft Office
  • Windows Subsystem for Linux
  • Windows Win32K
  • Windows Win32 Kernel Subsystem
  • Windows Kernel
  • Windows Kernel-Mode Drivers
  • Windows Cloud Files Mini Filter Driver
  • Microsoft Devices
  • Windows ODBC Driver
  • Azure Storage Mover
  • SQL Server
  • Microsoft Office SharePoint
  • Windows Authentication Methods
  • .NET and Visual Studio

Solución:

Instalar la actualización de seguridad correspondiente.

Vulnerabilidades en Siemens

Siemens ha publicado 6 nuevos avisos de seguridad, recopilando un total de 21 vulnerabilidades de distintas severidades. Las vulnerabilidades de severidad crítica identificadas podrían proporcionar acceso no autorizado y utilizar las credenciales del estado del sistema «instalación intermedia» de SIMATIC CN 4100 para obtener el control total del dispositivo afectado

Recursos afectados:

  • Versiones anteriores a CPCI85 05.20 de:
    • CP-8031 MASTER MODULE (6MF2803-1AA00)
    • CP-8050 MASTER MODULE (6MF2805-0AA00)
  • Solid Edge 2023, versiones anteriores a 223.0 Update 10.
  • Todas las versiones de SIMATIC IPC647E, IPC847E y IPC1047E con MaxView Storage Manager anterior a 4.14.00.26068 en Windows.
  • SIMATIC CN 4100, versiones anteriores a 2.7.
  • Spectrum Power 7, versiones anteriores a 23Q4.
  • JT2Go, versiones anteriores a 14.3.0.6.
  • Teamcenter Visualization, versiones anteriores a:
    • 13.3.0.13
    • 14.1.0.12
    • 14.2.0.9
    • 14.3.0.6

Solución:

Las actualizaciones que corrigen las vulnerabilidades identificadas se pueden obtener desde el panel de descargas de Siemens.

Vulnerabilidad crítica en OpManager de ManageEngine

Se ha publicado una vulnerabilidad de severidad crítica que afecta a OpManager de ManageEngine, cuya explotación podría provocar un cruce de directorio en la funcionalidad uploadMib.

Recursos afectados: 

Versiones afectadas hasta la 127259 de los siguientes productos:

  • OpManager
  • OpManager Plus
  • OpManager MSP
  • Administrador de configuración de red
  • Analizador de NetFlow
  • Analizador de firewall
  • OpUtils

Solución:

Actualizar a la última versión.

Múltiples vulnerabilidades en productos TP-Link

Se han detectado varias vulnerabilidades en productos TP-Link. En caso de ser explotados, estos fallos podrían permitir a un ciberdelincuente ejecutar comandos arbitrarios del sistema operativo.

Recursos afectados:

  • Archer AX3000, versiones anteriores a Archer AX3000(JP)_V1_1.1.2 Build 20231115
  • Archer AX5400, versiones anteriores a Archer AX5400(JP)_V1_1.1.2 Build 20231115
  • Archer AXE75, versiones anteriores a Archer AXE75(JP)_V1_231115;
  • Deco X50, versiones anteriores a Deco X50(JP)_V1_1.4.1 Build 20231122
  • Deco XE200, versiones anteriores a Deco XE200(JP)_V1_1.2.5 Build 20231120

Solución:

Se recomienda actualizar el firmware a la última actualización disponible.

Vulnerabilidad crítica en VisiLogic de Unitronics

Se ha descubierto una vulnerabilidad crítica en los productos VisiLogic y OS de Unitronics. Su explotación podría permitir a un atacante tomar el control administrativo del dispositivo afectado.

Recursos afectados:

OS, versiones anteriores a 12.38.

Solución:

Unitronics ha solucionada la vulnerabilidad en la versión 9.9.00.

Vulnerabilidad en Ivanti Endpoint Manager

Ivanti ha reportado una vulnerabilidad de severidad crítica en su producto Endpoint Manager cuya explotación podría permitir a un atacante remoto ejecutar código.

Recursos afectados:

Ivanti EPM ( Endpoint Manager), todas las versiones con soporte:

  • 2021
  • 2022 anteriores a Service Update 5

Solución:

Actualizar Ivanti EPM a la versión 2022 SU5.

Vulnerabilidades en Android

En el boletín de seguridad lanzado por Android se solucionan varias vulnerabilidades, de severidad crítica y alta, que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios o una divulgación de información.

Recursos afectados:

  • Android Open Source Project (AOSP): versiones 11, 12, 12L, 13 y 14.
  • Componentes de Google Play, Arm, Imagination Technologies, MediaTek, Unisoc y Qualcomm.

Solución:

Actualizar los parches de seguridad publicados por el fabricante.

Múltiples vulnerabilidades en Moxa

Se han detectado 5 vulnerabilidades, 1 de severidad alta y 4 medias, cuya explotación podría producir un acceso no autorizado y una interacción inesperada del usuario con la aplicación web.

Recursos afectados:

OnCell G3150A-LTE Series, versiones de firmware 1.3 y anteriores.

Solución:

Moxa recomienda a los usuarios ponerse en contacto con el soporte técnico para obtener el parche de seguridad.

Vulnerabilidad crítica en D-Link D-View 8 

Se ha publicado una vulnerabilidad crítica (CVE-2023-7163) que afecta al software de administración de red D-View 8 del fabricante D-Link. El fallo podría permitir a un atacante manipular el inventario de sondas del servicio D-View 8. Esta manipulación, no autorizada, podría permitir al atacante divulgar información de otras sondas, además de realizar una denegación de servicio (DoS) debido a que el inventario de sondas se llena, o ejecutar tareas en otras sondas.

Recursos afectados:

  • D-View 8, en las versiones 2.0.2.89 y anteriores.

Solución:

Por el momento, no hay disponible ningún parche o solución.

Vulnerabilidades en Juniper Secure Analytics

Se han reportado 18 vulnerabilidades en Juniper Secure Analytics, de las cuales siete son de severidad alta y dos de severidad crítica (CVE-2023-40787 y CVE-2023-46604).

Los fallos críticos cuentan con la siguiente descripción:

– En SpringBlade V3.6.0, cuando se ejecuta una consulta SQL, los parámetros enviados por el usuario no van entre comillas, lo que provoca una inyección SQL.

– El marshaller del protocolo Java OpenWire es vulnerable a una ejecución remota de código. Esta vulnerabilidad podría permitir a un atacante remoto con acceso de red a un cliente o a un broker OpenWire basado en Java ejecutar comandos shell arbitrarios, manipulando tipos de clase serializados en el protocolo OpenWire para hacer que el cliente o el broker (respectivamente) instancien cualquier clase en el classpath.

Recursos afectados:

  • Juniper Secure Analytics, todas las versiones hasta la 7.5.0 UP7.

Solución:

Se han resuelto las vulnerabilidades reportadas en Juniper Secure Analytics versión 7.5.0 UP7 IF03.

Vulnerabilidad en Apache ActiveMQ

Se ha descubierto una vulnerabilidad de severidad crítica y en explotación activa en Apache ActiveMQ, que afecta a productos de Eaton. La explotación de este fallo podría permitir a un atacante remoto, con acceso de red a un bróker, ejecutar comandos shell arbitrarios modificando tipos de clase serializados en el protocolo OpenWire, causando que el broker instanciase cualquier clase en el classpath.

Recursos afectados:

Los siguientes productos de Eaton:

  • IPM2: hasta la versión 2.7.1.
  • Yukon, Yukon Grid Server y Network Manager: todas las versiones.
  • VCOM: versiones desde 6.1.0 hasta 7.0.0.

Solución:

  • IPM2: actualizar el firmware a la versión 2.7.2.
  • Yukon y Network Manager: actualizar el firmware a la versión 9.5.
  • Yukon Grid Server: se ha sustituido ActiveMQ por Kafka y se ha publicado la versión YGS 2.3R1.
  • VCOM: el fabricante ha corregido la vulnerabilidad en el parche de script recientemente publicado.

Múltiples vulnerabilidades en productos de Honeywell

Se han descubierto dos vulnerabilidades 0day a ZDI de severidad alta que podrían permitir ejecución remota de código arbitrario en productos de Honeywell. Se han asignado los identificadores CVE-2023-51599 y CVE-2023-51603 para estas vulnerabilidades.

Recursos afectados:

Saia PG5 Controls Suite

Solución:

La única estrategia de mitigación destacada es restringir la interacción con la aplicación.

Múltiples vulnerabilidades en productos Mitsubishi Electric

Mitsubishi Electric ha publicado dos vulnerabilidades, una de severidad alta y otra media, cuya explotación podría permitir a un atacante realizar una divulgación de información o provocar una condición de denegación de servicio (DoS). En Apache

Recursos afectados:

  • GT SoftGOT2000, versiones de la 1.275M a la 1.290C.
  • OPC UA data collector, versiones 1.04E y anteriores.
  • MX OPC Server UA ( software empaquetado con MC Works64), versión 3.05F y posteriores (empaquetado con MC Works64 Version 4.03D y porteriores).
  • OPC UA server unit, todas las versiones.
  • FX5-OPC, versiones 1.006 y anteriores.

Solución:

Mitsubishi Electric recomienda que los clientes tomen las siguientes medidas de mitigación:

  • GT SoftGOT2000: actualizar el producto a la versión 1.295H o posterior.
  • OPC UA data collector: actualizar el producto a la versión 1.05F o posterior.
  • MX OPC Server UA: llevar a cabo las medidas paliativas incluidas en el apartado «Mitigations» del artículo incluido en las referencias.
  • OPC UA server unit: llevar a cabo las medidas paliativas incluidas en el apartado «Mitigations» del artículo incluido en las referencias.
  • FX5-OPC: actualizar el producto a la versión 1.010F o posterior.

Múltiples vulnerabilidades en Moodle

Se han reportado 4 vulnerabilidades de severidad crítica y baja que afectan a Moodle.

Recursos afectados:

  • 4.3;
  • Desde 4.2 hasta 4.2.3
  • Desde 4.1 hasta 4.1.6
  • Desde 4.0 hasta 4.0.11
  • Desde 3.11 hasta 3.11.17
  • Desde 3.9 hasta 3.9.24
  • Versiones anteriores sin soporte

Solución:

Actualizar a las versiones 4.3.1, 4.2.4, 4.1.7, 4.0.12, 3.11.18 y 3.9.25.

0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather