Alertas de seguridad – Julio 2023

Alertas de seguridad – Julio 2023

Vulnerabilidad en dispositivos de impresión HP LaserJet Pro

Desde HP se ha reportado una vulnerabilidad de severidad alta (CVE-2023-26301) que afecta a los dispositivos de impresión de la serie LaserJet Pro. Los productos afectados son potencialmente vulnerables a una escalada de privilegios o a una fuga de información ocasionadas por una omisión de autenticación en algunos endpoints.

Recursos afectados:

Series de impresoras:

  • HP Color LaserJet Pro 4201-4203cdn/dn/dw, números de producto: 4RA87F, 5HH51A, 4RA88F, 5HH52A, 5HH53A, 4RA89A, 5HH48A y 5HH59A.
  • HP Color LaserJet Pro MFP 4301-4303dw/fdn/fdw, números de producto: 4RA80F, 4RA81F, 4RA82F, 4RA83F, 4RA84F, 5HH72A, 5HH64F, 5HH73A, 5HH65A, 5HH66A y 5HH67A.

Solución:

Es necesario actualizar el firmware a la versión 6.12.1.12-202306030312 o posteriores.

 

Vulnerabilidad RCE en ssh-agent de OpenSSH

Se ha informado de una vulnerabilidad de severidad alta, que podría permitir a un atacante remoto ejecutar comandos arbitrarios a través del ssh-agent de OpenSSH.

Recursos afectados:

El agente de claves (ssh-agent) de OpenSSH, en las versiones desde 5.5 hasta 9.3p1.

Solución:

La vulnerabilidad se ha corregido en la versión 9.3p2 de OpenSSH.

 

Vulnerabilidades en HelpDezk Community

Se han publicado dos vulnerabilidades críticas (CVE-2023-3037 y CVE-2023-3039) en HelpDezk Community. El primer fallo podría permitir que un atacante remoto acceder a la plataforma sin autenticación y recuperar datos personales a través del parámetro jsonGrid. En el segundo caso, un atacante remoto podría enviar una consulta SQL especialmente diseñada al parámetro rows de la ruta jsonGrid y extraer toda la información almacenada en la aplicación.

Recursos afectados:

HelpDezk Community, versión 1.1.10.

Solución:

Por el momento, no hay solución identificada.

 

Vulnerabilidades en productos Atlassian

Se han publicado tres vulnerabilidades de severidad alta en productos Atlassian, que podrían permitir a un atacante ejecutar código arbitrario de forma remota, o modificar las acciones realizadas por una llamada al sistema.

Recursos afectados:

  • Confluence Data Center & Server: versiones 7.19.8. y 8.0.0.
  • Bamboo Data Center: versión 8.0.0.

Solución:

Es necesario actualizar a las versiones:

  • 19.8, 8.2.0, 8.3.2 y 8.4.0 de Confluence Data Center & Server
  • 2.3 y 9.3.1 de Bamboo Data Center

 

Vulnerabilidades en productos Citrix

Se ha informado de tres vulnerabilidades en productos de Citrix, una de severidad crítica y dos altas. La explotación de estos fallos podría permitir a un atacante realizar XSS (Cross-Site Scripting), escalada de privilegios o ejecución remota de código.

Recursos afectados:

  • NetScaler ADC y NetScaler Gateway, versiones:
    • 1 anteriores a 13.1-49.13
    • 0 anteriores a 13.0-91.13
    • 1 (EoL)
  • NetScaler ADC, versiones:
    • 1-FIPS anteriores a 13.1-37.159
    • 1-FIPS anteriores a 12.1-55.297
    • 1-NDcPP anteriores a 12.1-55.297

Estas vulnerabilidades solo afectan a NetScaler ADC y NetScaler Gateway administrados por el cliente. Los clientes que utilicen servicios en la nube administrados por Citrix o Adaptive Authentication administrado por Citrix no se ven afectados.

Solución:

Actualizar los productos afectados a las siguientes versiones:

  • NetScaler ADC y NetScaler Gateway, versiones:
    • 1-49.13 y posteriores
    • 0-91.13 y posteriores de la rama 13.0
  • NetScaler ADC, versiones:
    • 1-37.159 y posteriores de la rama 13.1-FIPS
    • 1-55.297 y posteriores de la rama 12.1-FIPS
    • 1-55.297 y posteriores de la rama 12.1-NDcPP

 

Actualización crítica en Oracle para múltiples productos

Oracle ha publicado una actualización con parches para corregir vulnerabilidades que afectan a múltiples productos.

Recursos afectados:

  • Application Management Pack para Oracle Utilities & Enterprise Taxation, versiones 13.4.1.0.0 y 13.5.1.0.0;
  • BI Publisher, versiones 6.4.0.0.0 y 7.0.0.0.0;
  • JD Edwards EnterpriseOne Orchestrator, versiones anteriores a la 9.2.7.4;
  • JD Edwards EnterpriseOne Tools, versiones anteriores a la 9.2.7.4;
  • MySQL Cluster, versiones 8.0.33 y anteriores;
  • MySQL Connectors, versiones 8.0.33 y anteriores;
  • MySQL Enterprise Monitor, versiones 8.0.34 y anteriores;
  • Servidor MySQL, versiones 5.7.42 y anteriores, 8.0.33 y anteriores;
  • MySQL Workbench, versiones 8.0.33 y anteriores;
  • Administrador de acceso de Oracle, versión 12.2.1.4.0;
  • Oracle Agile Engineering Data Management, versiones 6.2.1.0 a 6.2.1.8;
  • Oracle Agile PLM, versión 9.3.6;
  • Oracle Application Express, versiones [Application Express Administration] 18.2 a 22.2, [Application Express Customers Plugin] 18.2 a 22.2, [Application Express Team Calendar Plugin] 18.2 a 22.1;
  • Conjunto de pruebas de aplicaciones de Oracle, versión 13.3.0.1;
  • Oracle AutoVue, versiones 21.0.2.0 a 21.0.2.7;
  • Oracle Autovue para Agile Product Lifecycle Management, versión 21.0.2;
  • Oracle BAM (Supervisión de la actividad empresarial), versión 12.2.1.4.0;
  • Oracle Banking API, versiones 18.2.0.0.0, 18.3.0.0.0, 19.1.0.0.0, 19.2.0.0.0, 21.1.0.0.0, 22.1.0.0.0 y 22.2.0.0.0;
  • Sucursal bancaria de Oracle, versiones 14.5 a 14.7;
  • Oracle Banking Cash Management, versiones 14.7.0.2.0 y 14.7.1.0.0;
  • Oracle Banking Corporate Lending, versiones 14.0 a 14.3 y 14.5 a14.7;
  • Oracle Banking Corporate Lending Process Management, versiones 14.4 a 14.7;
  • Oracle Banking Credit Facility Process Management, versión 14.7.1.0.0;
  • Oracle Banking Digital Experience, versiones 18.2.0.0.0, 18.3.0.0.0, 19.1.0.0.0, 19.2.0.0.0, 21.1.0.0.0, 22.1.0.0.0 y 22.2.0.0.0;
  • Oracle Banking Liquidity Management, versiones 14.5.0.8.0, 14.6.0.3.0, 14.6.0.4.0, 14.7.0.1.0, 14.7.0.2.0 y 14.7.1.0.0;
  • Oracle Banking Origination, versiones 14.5 a 14.7 y 14.7.0;
  • Oracle Banking Payments, versiones 14.5 a 14.7;
  • Oracle Banking Supply Chain Finance, versiones 14.7.0.2.0 y 14.7.1.0.0;
  • Oracle Banking Trade Finance, versiones 14.0 a 14.3 y 14.5 a 14.7;
  • Oracle Banking Trade Finance Process Management, versiones 14.5.0.8.0, 14.6.0.4.0, 14.7.0.2.0 y 14.7.1.0.0;
  • Oracle Banking Treasury Management, versiones 14.5 a 14.7;
  • Oracle Big Data Spatial y Graph, versión 3.0;
  • Oracle Business Intelligence Enterprise Edition, versiones 6.4.0.0.0, 7.0.0.0.0 y 12.2.1.4.0;
  • Oracle Business Process Management Suite, versión 12.2.1.4.0;
  • Oracle Coherence, versiones 12.2.1.4.0 y 14.1.1.0.0;
  • Búsqueda guiada de Oracle Commerce, versión 11.3.2;
  • Oracle Commerce Platform, versiones 11.3.0, 11.3.1 y 11.3.2;
  • Oracle Communications Billing y Revenue Management, versiones 12.0.0.4.0 a 12.0.0.8.0;
  • Oracle Communications BRM: motor de carga elástica, versiones 12.0.0.4.0 a 12.0.0.8.0;
  • Oracle Communications Calendar Server, versiones 8.0.0.2.0 a 8.0.0.7.0;
  • Oracle Communications Cloud Native Core Automated Test Suite, versiones 22.4.1, 23.1.0 y 23.1.1;
  • Oracle Communications Cloud Native Core Binding Support Function, versiones 22.4.0 y 23.1.0;
  • Oracle Communications Cloud Native Core Console, versiones 22.4.2 y 23.1.1;
  • Oracle Communications Cloud Native Core Network Exposure Function, versiones 22.4.3 y 23.1.2;
  • Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versión 23.1.0;
  • Oracle Communications Cloud Native Core Network Repository Function, versiones 22.4.2, 22.4.3, 23.1.0, 23.1.1 y 23.2.0
  • Política de Oracle Communications Cloud Native Core, versiones 22.4.0, 23.1.0 y 23.2.0;
  • Oracle Communications Cloud Native Core Security Edge Protection Proxy, versiones 22.3.2, 22.4.0, 22.4.3, 23.1.0 y 23.1.1 a 23.1.2;
  • Oracle Communications Cloud Native Core Service Communication Proxy, versiones 22.4.0 y 23.1.0;
  • Repositorio de datos unificados de Oracle Communications Cloud Native Core, versión 23.1.1;
  • Oracle Communications Contacts Server, versiones 8.0.0.6.0 a 8.0.0.8.0;
  • Servidor de aplicaciones convergentes de Oracle Communications: controlador de servicios, versión 6.2.0;
  • Oracle Communications Convergence, versión 3.0.3.2;
  • Controlador de carga convergente de Oracle Communications, versiones 12.0.3.0.0 a 12.0.6.0.0;
  • Oracle Communications Design Studio, versiones 7.4.0.7.0, 7.4.1.5.0 y 7.4.2.8.0;
  • Enrutador de señalización de diámetro de Oracle Communications, versión 8.6.0.0;
  • Servidor de mensajería instantánea Oracle Communications, versión 10.0.1.7.0;
  • Servidor de mensajería de Oracle Communications, versión 8.1.0.21.0;
  • Director de datos de Oracle Communications Network Analytics, versión 23.1.0;
  • Carga y control de Oracle Communications Network, versiones 12.0.3.0.0 a 12.0.6.0.0;
  • Oracle Communications Network Integrity, versión 7.3.6.4;
  • Oracle Communications Operations Monitor, versiones 5.0 y 5.1;
  • Oracle Communications Order y Service Management, versiones 7.3.5, 7.4.0 y 7.4.1;
  • Oracle Communications Pricing Design Center, versiones 12.0.0.4.0 a 12.0.0.7.0;
  • Oracle Communications Unified Assurance, versiones 5.5.0 a 5.5.17 y 6.0.0 a 6.0.2;
  • Oracle Communications Unified Inventory Management, versiones 7.4.0 a 7.4.2 y 7.5.0;
  • Integrador de datos de Oracle, versión 12.2.1.4.0;
  • Servidor de base de datos Oracle, versiones 19.3 a 19.19 y 21.3 a 21.10;
  • Oracle Documaker, versiones 12.6.1 a 12.7.1;
  • Oracle E-Business Suite, versiones 12.2.3 a 12.3.12;
  • Oracle Enterprise Data Quality, versión 12.2.1.4.0;
  • Oracle Enterprise Manager para Exadata, versión 13.5.0.0;
  • Oracle Enterprise Manager para Fusion Middleware, versión 13.5.0.0;
  • Oracle Enterprise Manager para Oracle Database, versión 13.5.0.0;
  • Oracle Enterprise Manager Ops Center, versión 12.4.0.0;
  • Oracle Enterprise Operations Monitor, versiones 5.0 a 5.1;
  • Oracle Essbase, versión 21.4.3.0.0;
  • Infraestructura de aplicaciones analíticas de Oracle Financial Services, versiones 8.0.7, 8.0.8, 8.1.0, 8.1.1 a 8.1.2;
  • Plataforma de detección de comportamiento de Oracle Financial Services, versiones 8.0.8.1, 8.1.1.1, 8.1.2.4 a 8.1.2.5;
  • Oracle Financial Services Compliance Studio, versión 8.1.2.4;
  • Oracle Financial Services Enterprise Case Management, versiones 8.0.8.2, 8.1.1.1, 8.1.2.4 y 8.1.2.5;
  • Oracle Financial Services Trade-Based Anti Money Laundering Enterprise Edition, versión 8.0.8;
  • Servicio de Oracle FLEXCUBE Investor, versión 14.7.0.0.0;
  • Oracle FLEXCUBE Universal Banking, versiones 14.0 a 14.7;
  • Oracle Fusion Middleware MapViewer, versión 12.2.1.4.0;
  • Oracle GoldenGate, versiones 19.1.0.0.0 a 19.1.0.0.230422, 21.3.0.0.0 a 21.10.0.0.5;
  • Oracle GoldenGate Stream Analytics, versiones 19.1.0.0.0 a 19.1.0.0.7;
  • Oracle GraalVM Enterprise Edition, versiones 20.3.10, 21.3.6, 22.3.2;
  • Oracle GraalVM para JDK, versiones 17.0.7, 20.0.1;
  • Oracle Graph Server y Client, versiones 21.4.6, 21.4.7, 22.4.1, 22.4.2 y 23.1.0;
  • Oracle Health Sciences Sciences Data Management Workbench, versiones 3.1.0.2, 3.1.1.3 y 3.2.0.0;
  • Oracle Hospitality Cruise Shipboard Property Management System, versiones 20.1.0, 20.2.0 y 20.3.3;
  • Oracle Hospitality Simphony, versión 19.5;
  • Servidor HTTP de Oracle, versión 12.2.1.4.0;
  • Administración de relaciones de datos de Oracle Hyperion, versión 11.2.13.0.0;
  • Servicios de administración de Oracle Hyperion Essbase, versión 21.4.3.0.0;
  • Informes financieros de Oracle Hyperion, versión 11.2.13.0.0;
  • Espacio de trabajo de Oracle Hyperion, versión 11.2.13.0.0;
  • Oracle Identity Manager, versión 12.2.1.4.0;
  • Conector de Oracle Identity Manager, versiones 9.1.0 y 12.2.1.3.0;
  • Oracle Java SE, versiones 8u371, 8u371-perf, 11.0.19, 17.0.7 y 20.0.1;
  • Oracle JDeveloper, versión 12.2.1.4.0;
  • Herramientas y bibliotecas comunes de Oracle Middleware, versión 12.2.1.4.0;
  • Oracle Mobile Security Suite, versiones anteriores a 11.1.2.3.1;
  • Base de datos Oracle NoSQL, versiones 19.5.33, 20.3.28, 21.2.55 y 22.3.26;
  • Oracle Policy Automation, versiones anteriores a la 12.2.31;
  • Oracle Retail Advanced Inventory Planning, versiones 15.0 y 16.0;
  • Oracle Retail Bulk Data Integration, versiones 16.0.3 y 19.0.1;
  • Oracle Retail Financial Integration, versiones 14.2.0, 15.0.4, 16.0.3 y 19.0.1;
  • Oracle Retail Integration Bus, versiones 14.2.0, 15.0.4, 16.0.3 y 19.0.1;
  • Oracle Retail Order Broker, versión 19.1;
  • Oracle Retail Predictive Application Server, versiones 15.0.3 y 16.0.3;
  • Oracle Retail Service Backbone, versiones 14.2.0, 15.0.4, 16.0.3 y 19.0.1;
  • Oracle SD-WAN Edge, versión 9.1.1.5.0;
  • Copia de seguridad segura de Oracle, versión 18.1.0.1.0;
  • Bus de servicio de Oracle, versión 12.2.1.4.0;
  • Oracle SOA Suite, versión 12.2.1.4.0;
  • Oracle Solaris, versión 11;
  • Oracle Spatial Studio, versión 22.3.0;
  • Base de datos en memoria Oracle TimesTen, versiones 22.1.1.1.0 a 22.1.1.11.0;
  • Oracle Utilities Application Framework, versiones 4.2.0.3.0, 4.3.0.1.0 a 4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0, 4.4.0.3.0, 4.5.0.0.0, 4.5. 0.1.0 y 4.5.0.1.1;
  • Oracle Utilities Network Management System, versiones 2.4.0.1.21, 2.5.0.0.9, 2.5.0.1, 2.5.0.1.11, 2.5.0.2, 2.5.0.2.3 y 2.6.0.0;
  • Oracle Utilities Testing Accelerator, versiones 6.0.0.1 a 7.0.0.0;
  • Oracle VM VirtualBox, versiones anteriores a la 6.1.46 y anteriores a la 7.0.10;
  • Contenido de Oracle WebCenter, versión 12.2.1.4.0;
  • Sitios de Oracle WebCenter, versión 12.2.1.4.0;
  • Servidor Oracle WebLogic, versiones 12.2.1.4.0 y 14.1.1.0.0;
  • PeopleSoft Enterprise PeopleTools, versiones 8.59 y 8.60;
  • Primavera Gateway, versiones 18.8.0 a 18.8.15, 19.12.0 a 19.12.16, 20.12.0 a 20.12.11 y 21.12.0 a 21.12.9;
  • Primavera P6 Enterprise Project Portfolio Management, versiones 22.12.2 y 22.12.3;
  • Primavera Unifier, versiones 18.8.0 a 18.8.18, 19.12.0 a 19.12.16, 20.12.0 a 20.12.16, 21.12.0 a 21.12.15 y 22.12.0 a 22.12.6;
  • Aplicaciones Siebel, versiones 22.12 y anteriores, 23.6 y anteriores.

Solución:

Es necesario aplicar los parches correspondientes a los productos afectados. Toda la información necesaria para descargar las actualizacionesse encuentra en el boletín de seguridad publicado por Oracle.

 

Vulnerabilidad en Aqua Drive

Se ha informado de una vulnerabilidad crítica en Aqua Drive (CVE-2023-3701) de limitación incorrecta de una ruta a un directorio restringido (Path Traversal). Su explotación podría permitir a un atacante autenticado sin privilegios acceder o modificar los recursos almacenados de otros usuarios y los archivos fuente y de configuración de la plataforma de disco en la nube, afectando la integridad y disponibilidad de toda la plataforma.

Recursos afectados:

Aqua Drive, versión 2.4.

Solución:

Actualizar a la versión 2.5.

 

Vulnerabilidad en PowerMonitor 1000 de Rockwell Automation

Se ha informado de una vulnerabilidad de severidad alta en PowerMonitor 1000 de Rockwell Automation, cuya explotación podría permitir que un atacante logre la ejecución remota de código y, potencialmente, la pérdida total de confidencialidad, integridad y disponibilidad del producto.

Recursos afectados:

PowerMonitor 1000: V4.011

Solución:

Actualizar a la versión 4.019.

 

Vulnerabilidades críticas en productos Honeywell

Se han reportado 9 vulnerabilidades, 7 de severidad crítica y 2 de severidad importante, en varios productos Honeywell. Estos fallos podrían permitir a un atacante causar una condición de denegación de servicio (DoS), escalar privilegios o ejecutar código remoto.

Recursos afectados:

Versiones anteriores a R520.2 de los productos:

  • Experion PKS
  • Experion LX
  • Experion PlantCruise

Solución:

Actualizar las plataformas de Experion a la versión R520.2.

 

Múltiples vulnerabilidades en productos de Becton, Dickinson and Company 

Se han identificado 8 vulnerabbilidades en varios productos de Becton, Dickinson and Company. De ellas, 1 es de severidad alta y el resto medias y bajas. La explotación de estas vulnerabilidades podría permitir a un atacante comprometer datos sensibles, secuestrar una sesión, modificar el firmware o realizar cambios en la configuración del sistema.

Recursos afectados:

Las siguientes versiones de BD Alaris:

  • BD Alaris Point-of-Care Unit (PCU) modelo 8015: versiones 12.1.3 y anteriores
  • BD Alaris Guardrails Editor: versiones 12.1.2 y anteriores
  • BD Alaris Systems Manager: versiones 12.3 y anteriores
  • CQI Reporter: versiones v10.17 y anteriores
  • Calculation Services: versiones 1.0 y anteriores

Solución:

Se recomienda aplicar distintas medidas de mitigación para reducir los riesgos asociados a las vulnerabilidades identificadas.

 

Múltiples vulnerabilidades en Rockwell Automation 

Se han descubierto dos vulnerabilidades, de severidad crítica y alta, en Rockwell Automation. La explotación de estos fallos podría permitir a un atacante obtener acceso remoto a la memoria en ejecución del módulo y realizar actividades maliciosas.

Recursos afectados:

  • 1756-EN2T Series A, B y C: versiones 5.008 y 5.028 y anteriores
  • 1756-EN2T Serie D: versiones 11.003 y anteriores
  • 1756-EN2TK Series A, B y C: versiones 5.008 y 5.028 y anteriores
  • 1756-EN2TK Serie D: versiones 11.003 y anteriores
  • 1756-EN2TXT Series A, B y C: versiones 5.008 y 5.028 y anteriores
  • 1756-EN2TXT Serie D: versiones 11.003 y anteriores
  • 1756-EN2TP Serie A: versiones 11.003 y anteriores
  • 1756-EN2TPK Serie A: versiones 11.003 y anteriores
  • 1756-EN2TPXT Serie A: versiones 11.003 y anteriores
  • 1756-EN2TR Series A y B: versiones 5.008 y 5.028 y anteriores
  • 1756-EN2TR Serie C: versiones 11.003 y anteriores
  • 1756-EN2TRK Series A y B: versiones 5.008 y 5.028 y anteriores
  • 1756-EN2TRK Serie C: versiones 11.003 y anteriores
  • 1756-EN2TRXT Serie A y B: versiones 5.008 y 5.028 y anteriores
  • 1756-EN2TRXT Serie C: versiones 11.003 y anteriores
  • 1756-EN2F Series A y B: versiones 5.008 y 5.028 y anteriores
  • 1756-EN2F Serie C: versiones 11.003 y anteriores
  • 1756-EN2FK Series A y B: versiones 5.008 y 5.028 y anteriores
  • 1756-EN2FK Serie C: versiones 11.003 y anteriores
  • 1756-EN3TR Serie A: versiones 5.008 y 5.028 y anteriores
  • 1756-EN3TR Serie B: versiones 11.003 y anteriores
  • 1756-EN3TRK Serie A: versiones 5.008 y 5.028 y anteriores
  • 1756-EN3TRK Serie B: versiones 11.003 y anteriores
  • 1756-EN4TR Serie A: versiones 5.001 y anteriores
  • 1756-EN4TRK Serie A: versiones 5.001 y anteriores
  • 1756-EN4TRXT Serie A: versiones 5.001 y anteriores

Solución:

Rockwell Automation ha lanzado las siguientes versiones para solucionar estas vulnerabilidades:

  • 1756-EN2T Series A, B y C: actualización a 5.029 o versiones firmadas posteriores (recomendado). Actualizar a 5.009 para versiones sin firmar.
  • 1756-EN2T Serie D: actualización a 11.004 o posterior.
  • 1756-EN2TK Series A, B y C: actualización a 5.029 o versiones firmadas posteriores (recomendado). Actualizar a 5.009 para versiones sin firmar.
  • 1756-EN2TK Serie D: actualización a 11.004 o posterior.
  • 1756-EN2TXT Series A, B y C: actualización a 5.029 o versiones firmadas posteriores (recomendado). Actualizar a 5.009 para versiones sin firmar.
  • 1756-EN2TXT Serie D: actualización a 11.004 o posterior.
  • 1756-EN2TP Serie A: actualización a 11.004 o posterior.
  • 1756-EN2TPK Serie A: actualización a 11.004 o posterior.
  • 1756-EN2TPXT Serie A: actualización a 11.004 o posterior.
  • 1756-EN2TR Series A y B: actualización a 5.029 o posterior para versiones firmadas (recomendado). Actualizar a 5.009 para versiones sin firmar.
  • 1756-EN2TR Serie C: actualización a 11.004 o posterior.
  • 1756-EN2TRK Series A y B: actualización a 5.029 o posterior para versiones firmadas (recomendado). Actualizar a 5.009 para versiones sin firmar.
  • 1756-EN2TRK Serie C: actualización a 11.004 o posterior.
  • 1756-EN2TRXT Series A y B: actualización a 5.029 o posterior para versiones firmadas (recomendado). Actualizar a 5.009 para versiones sin firmar.
  • 1756-EN2TRXT Serie C: actualización a 11.004 o posterior.
  • 1756-EN2F Series A y B: actualización a 5.029 o posterior para versiones firmadas (recomendado). Actualizar a 5.009 para versiones sin firmar.
  • 1756-EN2F Serie C: actualización a 11.004 o posterior.
  • 1756-EN2FK Series A y B: actualización a 5.029 o posterior para versiones firmadas (recomendado). Actualizar a 5.009 para versiones sin firmar.
  • 1756-EN2FK Serie C: actualización a 11.004 o posterior.
  • 1756-EN3TR Serie A: actualización a 5.029 o posterior para versiones firmadas (recomendado). Actualizar a 5.009 para versiones sin firmar.
  • 1756-EN3TR Serie B: actualización a 11.004 o posterior.
  • 1756-EN3TRK Serie A: actualización a 5.029 o posterior para versiones firmadas (recomendado). Actualizar a 5.009 para versiones sin firmar.
  • 1756-EN3TRK Serie B: actualización a 11.004 o posterior.
  • 1756-EN4TR Serie A: actualización a 5.002 o posterior.
  • 1756-EN4TRK Serie A: actualización a 5.002 o posterior.

 

Vulnerabilidad en Autodesk Desktop Connector

Se ha identificado una vulnerabilidad de severidad alta en Autodesk Desktop Connector, cuya explotación podría permitir una escalada de privilegios en las instalaciones de las aplicaciones y servicios que utiliza el producto.

Recursos afectados:

Autodesk® Desktop Connector, versiones 16.2.1 y anteriores.

Solución:

Se recomienda a los usuarios obtener y aplicar la última revisión de seguridad.

 

Vulnerabilidades en Microsoft 

Se han detectado 132 vulnerabilidades en Microsoft. De ellas, 5 son de severidad crítica y 127 de severidad importante. Los fallos podrían producir problemas de escalada de privilegios, anulación de funciones de seguridad, suplantación de identidad, divulgación de información, secuencias de comandos en sitios cruzados, ejecución remota de código y denegación de servicio. Además, se han identificado 5 vulnerabilidades 0day, corregidas con el parche de seguridad, que están siendo explotadas activamente.

Recursos afectados:

  • .NET and Visual Studio
  • NET Core
  • Azure Active Directory
  • Active Directory Federation Service
  • Azure DevOps Server
  • Azure Kubernetes Service
  • Microsoft Dynamics 365 (on-premises)
  • Windows Win32k
  • Microsoft Office Graphics
  • Microsoft Media-Wiki Extensions
  • Microsoft Access
  • Microsoft Excel
  • Microsoft Outlook
  • Microsoft SharePoint
  • Microsoft SharePoint Server
  • Microsoft Power Apps
  • Microsoft PostScript and PCL6 Class Printer Driver
  • VP9 Video Extensions
  • Raw Image Extension
  • USB Audio Class System Driver
  • Mono Authenticode Validation
  • Paint 3D
  • Windows DNS Server
  • Service Fabric on Windows
  • Visual Studio Code
  • Windows Active Directory Certificate Services (AD CS)
  • Active Template Library
  • Windows Admin Center
  • Microsoft Store Install Service
  • Windows Authentication
  • Windows CDP User Components
  • Guidance on Microsoft Signed Drivers Being Used Maliciously
  • Windows Clip Service
  • Windows Cloud Files Mini Filter Driver
  • Microsoft Failover Cluster
  • Windows CNG Key Isolation Service
  • Windows Common Log File System Driver
  • Connected User Experiences and Telemetry
  • Windows CryptoAPI
  • Windows Cryptographic
  • Microsoft Defender
  • Windows Deployment Services
  • Microsoft Guidance for Addressing Security Feature Bypass in Trend Micro EFI Modules
  • Windows Error Reporting Service
  • Windows Geolocation Service
  • sys
  • Windows Image Acquisition
  • Windows Installer
  • Windows Kernel
  • Windows Layer-2 Bridge Network Driver
  • Windows Local Security Authority (LSA)
  • Windows Media
  • Microsoft Message Queuing
  • Windows MSHTML Platform
  • Windows Netlogon
  • Windows Network Load Balancing
  • Microsoft ODBC Driver
  • OLE Automation
  • Windows OLE
  • Windows Online Certificate Status Protocol (OCSP) SnapIn
  • Windows Partition Management Driver
  • Windows Peer Name Resolution Protocol
  • Windows Pragmatic General Multicast (PGM)
  • Windows Print Spooler
  • Windows Remote Desktop Protocol Security Feature Bypass
  • Windows Remote Desktop
  • Remote Procedure Call Runtime
  • Windows Routing and Remote Access Service (RRAS)
  • Windows Server Update Service (WSUS)
  • Windows SmartScreen
  • Windows Extended Negotiation
  • Windows Transaction Manager
  • Windows Update Orchestrator Service
  • Microsoft VOLSNAP.SYS
  • Volume Shadow Copy
  • Win32k

Solución:

Se recomienda instalar la actualización de seguridad correspondiente.

 

Vulnerabilidades en Android 

Se han detectado múltiples vulnerabilidades, de severdiad crítica, alta y media, en Android. Estas vulnerabilidades podrían permitir a un atacante realizar una escalada de privilegios, divulgar información y provocar una denegación de servicio (DoS) o una ejecución remota de código.

Recursos afectados:

  • Android Open Source Project (AOSP): versiones 11, 12, 12L y 13
  • Componentes:
    • framework
    • system
    • sistema de actualizaciones de Google Play
    • Kernel
    • Arm
    • Imagination Technologies
    • MediaTek
    • Qualcomm (incluidos closed-source)

Solución:

En caso de utilizar dispositivos Android, comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.

 

Vulnerabilidad crítica en Citrix Secure Access 

Se ha descubierto una vulnerabilidad de severidad crítica en Citrix Secure Access, cuya explotación podría permitir la ejecución remota de código.

Recursos afectados:

Cliente para Ubuntu de Citrix Secure Access, versiones anteriores a 23.5.2.

Solución:

Actualizar el cliente para Ubuntu de Citrix Secure Access a las versiones 23.5.2 y posteriores.

 

Vulnerabilidad crítica en productos Fortinet 

Se ha reportado una vulnerabilidad de severidad crítica en varios productos de Fortinet. La explotación de este fallo podría permitir a un atacante ejecutar código o comandos no autorizados.

Recursos afectados:

  • FortiOS, versiones 7.2.0 hasta 7.2.3
  • FortiOS, versiones 7.0.0 hasta 7.0.10
  • FortiProxy, versiones 7.2.0 hasta 7.2.2
  • FortiProxy, versiones 7.0.0 hasta 7.0.9

Solución:

Para FortiOS, Fortinet recomienda actualizar a las siguientes versiones:

  • Versión 7.0.11 o superior
  • Versión 7.2.4 o superior
  • Versión 7.4.0 o superior

Para FortiProxy, Fortinet recomienda actualizar a las siguientes versiones:

  • Versión 7.2.3 o superior
  • Versión 7.0.10 o superior

 

Actualización de seguridad de SAP 

Se han detectado 16 vulnerabilidades en SAP. De ellas, 1 es de severidad crítica, 6 de severidad alta y el resto medias. La vulnerabilidad de severidad crítica podría permitir a un atacante autenticado inyectar un comando arbitrario del sistema operativo en un parámetro desprotegido de una transacción y programa vulnerables.

Recursos afectados:

  • SAP ECC y SAP S/4HANA, versiones 104, 105, 106, 107, 600, 602, 603, 604, 605, 606, 617, 618, 800, 802, 803, 804, 805, 806 y 807
  • SAP NetWeaver (BI CONT ADD ON), versiones 707, 737, 747 y 757
  • SAP Web Dispatcher, versiones WEBDISP 7.49, WEBDISP 7.53, WEBDISP 7.54, WEBDISP 7.77, WEBDISP 7.81, WEBDISP 7.85, WEBDISP 7.88, WEBDISP 7.89, WEBDISP 7.90, KERNEL 7.49, KERNEL 7.53, KERNEL 7.54 KERNEL 7.77, KERNEL 7.81, KERNEL 7.85, KERNEL 7.88, KERNEL 7.89, KERNEL 7.90, KRNL64NUC 7.49, KRNL64UC 7.49, KRNL64UC 7.53, HDB 2.00, XS_ADVANCED_RUNTIME 1.00 y SAP_EXTENDED_APP_SERVICES 1
  • SAP SQL Anywhere, versión 17.0
  • SAP Solution Manager (Diagnostic Agent), versión 7.20
  • SAP NetWeaver Process Integration (Runtime Workbench), versión SAP_XITOOL 7.50
  • SAP Enable Now, versiones WPB_MANAGER 1.0, WPB_MANAGER_CE 10, WPB_MANAGER_HANA 10 y ENABLE_NOW_CONSUMP_DEL 1704
  • SAP BusinessObjects BI Platform (Enterprise), versiones 4.20 y 4.30
  • SAP NetWeaver AS para Java (Log Viewer), versiones ENGINEAPI 7.50, SERVERCORE 7.50 y J2EE-APPS 7.50
  • SAP ERP Defense Forces y Public Security, versiones 600, 603, 604, 605, 616, 617, 618, 802, 803, 804, 805, 806 y 807
  • SAP Business Warehouse y SAP BW/4HANA, versiones SAP_BW 730, SAP_BW 731, SAP_BW 740, SAP_BW 730, SAP_BW 750, DW4CORE 100, DW4CORE 200 y DW4CORE 300

Solución:

Instalar las actualizaciones o los parches necesarios, según indique el fabricante.

 

Vulnerabilidad en Sensormatic Electronics iSTAR 

Se ha identificado una vulnerabilidad de severidad alta en Sensormatic Electronics iSTAR. La explotación de esta vulnerabilidad podría permitir a un usuario no autenticado iniciar sesión en dispositivos iSTAR con privilegios administrativos.

Recursos afectados:

  • iSTAR Ultra e iSTAR Ultra LT, versiones de firmware posteriores a 6.8.6 y anteriores a 6.9.2 CU01
  • iSTAR Ultra G2 e iSTAR Edge G2, versiones de firmware anteriores a 6.9.2 CU01

Solución: 

Actualizar el firmware de los productos afectados a la versión 6.9.2 CUO1.

 

Vulnerabilidad crítica en Enhanced HIM de Rockwell Automation

Se ha descubierto una vulnerabilidad de severdidad crítica en Enhanced HIM de Rockwell Automation. Su explotación podría dar lugar a la divulgación de información confidencial y al acceso remoto completo.

Recursos afectados:

Enhanced HIM: Version 1.001

Solución:

Se recomienda a los usuarios actualizar a la versión 1.002.

 

Múltiples vulnerabilidades en Control FPWIN de Panasonic

Se han reportado tres vulnerabilidades de severidad alta en Control FPWIN de Panasonic. La explotación de estos fallos podría permitir a un atacante obtener información sensible o ejecutar código de forma remota.

Recursos afectados:

Control FPWIN: versiones 7.6.0.3 y anteriores.

Solución:

Para solucionar las vulnerabilidades identificadas, Panasonic ha lanzado la versión Pro7 7.7.0.0 de software.

 

Vulnerabilidad 0day en WebKit de Apple

Se ha descubierto una vulnerabilidad, de tipo 0day, en WebKit de Apple. La explotación de este fallo podría permitir a un atacante ejecutar código arbitrario. Apple ha informado de que esta vulnerabilidad podría haber sido explotada activamente.

Recursos afectados:

Versiones anteriores a:

  • iOS 16.5.1 y iPadOS 16.5.1
  • macOS Ventura 13.4.1
  • Safari 16.5.2

Solución:

Actualizar a las versiones referenciadas siguiendo los pasos indicados en la web oficial del fabricante y que están disponibles para los siguientes productos:

  • iOS 16.5.1 y iPadOS 16.5.1
  • macOS Ventura 13.4.1
  • Safari 16.5.2

 

Vulnerabilidades en Siemens

Siemens ha publicado 5 nuevos avisos de seguridad, recopilando un total de 43 vulnerabilidades de distintas severidades. Las vulnerabilidades de severidad crítica identificadas podrían producir problemas de inyección de comandos del sistema operativo, permisos por defecto erróneos, inyección de comandos, gestión de acceso inadecuada, desbordamiento de búfer y escritura fuera de los límites del búfer.

Recursos afectados:

  • Distintos modelos de RUGGEDCOM ROX, versiones anteriores a 2.16
  • SIMATIC:
    • CN 4100, versiones anteriores a 2.5
    • Serie MV500, versiones anteriores a 3.3.4
  • Tecnomatix Plant Simulation:
    • Versiones anteriores a 2201.0008
    • Versiones anteriores a 2302.0002
  • SiPass integrado, versiones anteriores a 2.90.3.8

Solución:

Las actualizaciones que corrigen las vulnerabilidades identificadas se pueden obtener desde el panel de descargas de Siemens.

 

Múltiples vulnerabilidades en FactoryViews de Festo

Se han descubierto 173 vulnerabilidades en el producto FactoryViews (versión Lite incluida) de Festo. De ellas, 26 son de severidad crítica y el resto de severidad alta, media y baja. Estos fallos podrían producir problemas de uso de memoria después de ser liberada, desbordamiento de enteros, inyección de atributos usados en otros componentes, liberación duplicada de memoria, lectura fuera de límites, utilización de recurso no inicializado, desbordamiento de búfer, HTTP smuggling, finalización de cadena incorrecta o de PRNG.

Recursos afectados:

  • FactoryViews, versiones anteriores a 1.6.0.
  • FactoryViews Lite, versiones 1.1 y anteriores.

 Solución:

Actualizar FactoryViews a la versión 1.6.0. En este momento no está disponible la actualización para FactoryViews Lite.

 

Múltiples vulnerabilidades en productos de Schneider Electric

Se han reportado varias vulnerabilidades, 3 de severidad alta y 2 de severidad media, en productos de Schneider Electric. Su explotación podría permitir a un atacante realizar una escalada de privilegios.

 

Recursos afectados:

  • Accutech Manager, versiones 2.7 y anteriores.
  • StruxureWare Data Center Expert (DCE), versiones 7.9.3 y anteriores.

Solución:

Schneider Electric ha lanzado distintos parches para solucionar las vulnerabilidades descritas:

  • Accutech Manager: actualizar a la versión 2.8
  • StruxureWare Data Center Expert: actualizar a la versión 8.0

 

Vulnerabilidades críticas en Mastodon   

Se han descubierto 2 vulnerabilidades de severidad crítica en Mastodon. Estos fallos podrían permitir a un atacante crear o sobrescribir cualquier archivo al que Mastodon tenga acceso, lo cual podría provocar un Cross-Site Scripting (xSS), una denegación de servicio o ejecución remota de código arbitrario.

Recursos afectados:

Las versiones de Mastodon 1.3 y superiores hasta la 3.5.8, 4.0.4 y 4.1.2.

Solución:

Se recomienda a los usuarios de las versiones afectadas que actualicen inmediatamente a las versiones parcheadas:

  • 1.3
  • 0.5
  • 5.9

 

Vulnerabilidad en MELSEC iQ-F Series de Mitsubishi Electric  

Se ha informado de vulnerabilidad de denegación de servicio y de ejecución de código malintencionado en los módulos CPU de la serie MELSEC. Este fallo podría permitir a un atacante remoto provocar una denegación de servicio (DoS) o ejecutar código malicioso en el producto objetivo mediante el envío de paquetes especialmente diseñados.

Recursos afectados:

MELSEC iQ-R Series:

  • R00/01/02CPU, versiones 35 y anteriores
  • R04/08/16/32/120(EN)CPU, versiones desde 12 hasta 68
  • R08/16/32/120SFCPU, versiones 26 y posteriores
  • R08/16/32/120PCPU, versiones 3 y posteriores

Solución:

Se recomienda actualizar a las siguientes versiones:

  • 290 o posteriores
  • 36 o posteriores
  • 69 o posteriores

 

Vulnerabilidad en Frauscher Diagnostic System FDS   

Se ha descubierto una vulnerabilidad, de severidad alta, en Frauscher Diagnostic System FDS. La explotación de dicha vulnerabilidad, de tipo limitación incorrecta de nombre de ruta a un directorio restringido (path traversal), podría permitir a un atacante remoto leer todos los archivos del sistema de ficheros.

Recursos afectados:

Diagnostic System FDS101 para FAdC/FAdCi, versiones 1.3.3 y anteriores.

Solución:

El fabricante no publicará actualizaciones de firmware para corregir esta vulnerabilidad.

 

Vulnerabilidad crítica en Vision1210 de Unitronics   

Se ha publicado una vulnerabilidad de severidad crítica que afecta al dispositivo Vision1210 de Unitronics. Este fallo podría permitir a un atacante remoto almacenar código malicioso codificado en base64 en las tablas de datos del dispositivo a través del protocolo PCOM, que luego puede ser recuperado por un cliente y ejecutado en el dispositivo.

Recursos afectados:

Vision1210, versión 4.3 de sistema operativo, build 5.

Solución:

No hay solución reportada, por el momento.

 

Múltiples vulnerabilidades en MOVEit Transfer   

Se han reportado 3 vulnerabilidades, 2 de severidad alta y 1 de severidad crítica, en MOVEit Transfer. La explotación de estas vulnerabilidades podría permitir que un atacante no autenticado obtenga acceso no autorizado a la base de datos.

Recursos afectados:

Distintas versiones MOVEit Transfer que pueden consultarse en el aviso del fabricante.

Solución:

Se ha publicado una actualización para corregir esta vulnerabilidad: Transferencia MOVEit 2020.1.11 (12.1.11)

 

Vulnerabilidad en Sage 200  

Se ha publicado una vulnerabilidad que afecta a Sage 200, un software de gestión empresarial (ERP). Este fallo podría permitir a un atacante obtener la ejecución remota de comandos MS SQL y escalar privilegios en sistemas de Windows.

Recursos afectados:

Sage 200, versión 2023.38.001

Solución:

La vulnerabilidad ha sido solucionada en la versión 2023.75.

Vulnerabilidad en routers TN-5900 de Moxa  

Se ha identificado una vulnerabilidad de severidad alta en dispositivos router de la serie TN-5900 de Moxa. La explotación de este fallo podría permitir a un atacante la obtención de información de usuarios.

Recursos afectados:

TN-5900 Series, versiones de firmware 3.3 y anteriores.

Solución:

Actualizar el firmware de los dispositivos afectados a la versión 3.4 o posteriores.

Vulnerabilidad en MELSEC-F de Mitsubishi Electric 

Se ha reportado una vulnerabilidad de severidad alta, que podría permitir a un atacante cancelar la configuración de la contraseña e iniciar sesión mediante el envío de paquetes diseñados.

Recursos afectados:

Todas las versiones de MELSEC-F series en los productos:

  • FX3U-xMy/z x=16,32,48,64,80,128, y=T,R, z=ES,ESS,DS,DSS *1
  • FX3U-32MR/UA1, FX3U-64MR/UA1 *1
  • FX3U-32MS/ES, FX3U-64MS/ES *1
  • FX3U-xMy/ES-A x=16,32,48,64,80,128, y=T,R *1*2
  • FX3UC-xMT/z x=16,32,64,96, z=D,DSS *1
  • FX3UC-16MR/D-T, FX3UC-16MR/DS-T *1
  • FX3UC-32MT-LT, FX3UC-32MT-LT-2 *1
  • FX3UC-16MT/D-P4, FX3UC-16MR/DSS-P4 *1*2
  • FX3G-xMy/z x=14,24,40,60, y=T,R, z=ES,ESS,DS,DSS *1
  • FX3G-xMy/ES-A x=14,24,40,60, y=T,R *1*2
  • FX3GC-32MT/D, FX3GC-32MT/DSS *1
  • FX3GE-xMy/z x=24,40, y=T,R, z=ES,ESS,DS,DSS *2
  • FX3GA-xMy-CM x=24,40,60, y=T,R *1*2
  • FX3S-xMy/z x=10,14,20,30, y=T,R, z=ES,ESS,DS,DSS *1
  • FX3S-30My/z-2AD y=T,R, z=ES,ESS *1
  • FX3SA-xMy-CM x=10,14,20,30, y=T,R *1*2

Solución:

Mitsubishi Electric recomienda que los usuarios tomen las siguientes medidas de mitigación:

  • Utilizar un firewall o una red privada virtual (VPN), etc. para evitar el acceso no autorizado cuando se requiera acceso a Internet.
  • Usarlo dentro de una LAN y bloquear el acceso desde redes y hosts no confiables a través de firewalls.
  • Restringir el acceso físico a los productos afectados y la LAN a la que están conectados.
0/5 (0 Reviews)
Facebooktwitterpinterestlinkedinby feather
/ Alertas de seguridad, Ciberseguridad

Related Posts

Alertas de seguridad – Febrero 2023
Un año de ciberguerra: Rusia, China y Corea del Norte son el origen de la mayoría de los ciberataques
Una reflexión sobre el futuro panorama de ciberamenazas
Entrevista Iñigo Ucín, presidente de la Corporación MONDRAGON
Los premios Goya, la piratería y los riesgos en las descargas ilegales
¿RAMSOM…QUÉ?
SGSI: por qué es importante implantar este sistema
La ciberseguridad en relación con la ley
La ciberinteligencia de amenazas logra reducir el tiempo de respuesta ante posibles ciberataques
Aceptar las “cookies” o pagar, la nueva tendencia en los sitios webs que busca monetizar la experiencia del usuario
La ciberseguridad en el Plan de Continuidad de Negocio
Seamos prácticos: medidas organizativas y técnicas de adecuación al RGPD