Alertas de seguridad – Marzo 2024
Actualización – Múltiples vulnerabilidades en JSA de Juniper
Júniper ha publicado un informe de 41 vulnerabilidades de diferentes severidades, destacando 5 de ellas de severidad crítica.
Recursos afectados:
Juniper Networks Juniper Secure Analytics (JSA):
- Log Collector, versión v1.8.4 y anteriores
- SOAR Plugin App versión 5.3.1 y anteriores
- Deployment Intelligence App, versión 3.0.12 y anteriores
- User Behavior Analytics Application add-on, versión 4.1.14 y anteriores
[Actualización 28/02/2024]
- Pulse Application add-on, versiones anteriores a 2.2.12
- Assistant Application add-on, versiones anteriores a 3.6.0
- Use Case Manager Application add-on, versiones anteriores a 3.9.0
[Actualización 25/03/2024]
- WinCollect Standalone Agent, versiones anteriores a 10.1.8
- M7 Appliances, versiones anteriores a 4.0.0
Solución:
Las siguientes versiones del software (y todas las posteriores) se han actualizado para resolver estos problemas específicos:
- Disconnected Log Collector v1.8.4
- SOAR Plugin App v5.3.1
- Intelligence App v3.0.12
- Behavior Analytics v4.1.14
[Actualización 28/02/2024]
- Pulse App 2.2.12
- Assistant App 3.6.1
- Use Case Manager App 3.9.0
[Actualización 25/03/2024]
- WinCollect Standalone Agent 10.1.9
- M7 Appliances 4.0.0 ISO
Actualización – Múltiples vulnerabilidades en productos Fortinet
Se han reportado 3 vulnerabilidades, 2 críticas y 1 alta, que afectan a varios productos de Fortinet. La explotación de estas vulnerabilidades podría permitir la ejecución de código o comandos no autorizados. Fortinet ha informado que la vulnerabilidad identificada como CVE-2023-48788 está siendo explotada activamente. Adicionalmente, ha publicado un post con detalles técnicos sobre la vulnerabilidad, así como referencias a IoC y PoC.
Recursos afectados:
- FortiOS, versiones:
- desde 7.4.0 hasta 7.4.1
- desde 7.2.0 hasta 7.2.5
- desde 7.0.0 hasta 7.0.12
- desde 6.4.0 hasta 6.4.14
- desde 6.2.0 hasta 6.2.15
- FortiProxy, versiones:
- 7.4.0
- desde 7.2.0 hasta 7.2.6
- desde 7.0.0 hasta 7.0.12
- desde 2.0.0 hasta 2.0.13
- FortiClientEMS, versiones:
- desde 7.2.0 hasta 7.2.2
- desde 7.0.1 hasta 7.0.10
Solución:
Actualizar los productos afectados a las siguientes versiones o posteriores:
- FortiOS:
- 7.4.2
- 7.2.
- 7.0.13;
- 6.4.15
- 6.2.16
- FortiProxy:
- 7.4.1
- 7.2.7
- 7.0.13
- 2.0.14
- FortiSASE 23.3.b
- FortiClientEMS:
- 7.2.3
- 7.0.11
Vulnerabilidades en productos de DELL
Dell ha publicado 2 vulnerabilidades de severidades crítica y media que podrían provocar la pérdida de confidencialidad, integridad y disponibilidad.
Recursos afectados:
- Z9432F-ON firmware, versiones anteriores a la v3.51.5.1-18.
- S5448F-ON firmware, versiones anteriores a la v3.52.5.1-10.
Solución:
Actualizar a la versión v3.52.5.1-10 o posterior.
Vulnerabilidad en WebAccess/SCADA de Advantech
Se ha identificado una vulnerabilidad de severidad alta que afecta a WebAccess/SCADA de Advantech. Su explotación podría permitir a un atacante autenticado leer o modificar una base de datos remota.
Recursos afectados:
WebAccess/SCADA, versión 9.1.5U.
Solución:
Advantech recomienda actualizar WebAccess/SCADA a la versión 9.1.6 o superior.
Múltiples vulnerabilidades en PowerFlex® 527 de Rockwell Automation
Rockwell Automation ha publicado 3 vulnerabilidades de severidad alta, de tipo denegación de servicio,que podrían provocar que el servidor web se bloquee y para restablecerlo sería necesario reiniciarlo manualmente para recuperarlo.
Recursos afectados:
PowerFlex® 527 versiones anteriores a v2.001.x.
Solución:
Actualmente no existe una solución para esta vulnerabilidad.
Vulnerabilidad en SCAN_VISIO eDocument Suite Web Viewer de Abast
Se ha detectado una vulnerabilidad que afecta a SCAN_VISIO Web Viewer, un módulo de la solución SCAN_VISIO eDocument Suite. Este fallo podría permitir a un usuario, no autenticado, recuperar, actualizar y eliminar toda la información de la base de datos
Recursos afectados:
SCAN_VISIO Web Viewer, versión 3.28.1 e inferiores.
Solución:
La vulnerabilidad ha sido solucionada para versiones posteriores a la 3.28.1.
Múltiples vulnerabilidades en productos Ivanti
Ivanti ha notificado 2 vulnerabilidades de severidad crítica que podrían permitir a un atacante remoto modificar un archivo o ejecutar código.
Recursos Afectados:
- Ivanti Neurons para ITSM, versiones con soporte (2023.3, 2023.2 y 2023.1) y también las que ya no disponen de soporte.
- Ivanti Standalone Sentry, versiones con soporte (9.17.0, 9.18.0 y 9.19.0) y también las que ya no disponen de soporte.
Solución:
Ya está disponible un parche a través del portal de descargas estándar para solucionar estas vulnerabilidades.
Múltiples vulnerabilidades en Sentrifugo
Se han identificado 10 vulnerabilidades, 7 de severidad crítica y 3 de severidad alta, que afectan a Sentrifugo. Las vulnerabilidades críticas consisten en una inyección SQL, cuya explotación podría permitir a un usuario remoto enviar una consulta especialmente diseñada al servidor y extraer todos los datos de esta.
Recursos afectados:
Sentrifugo, versión 3.2.
Solución
No hay solución reportada por el momento.
Vulnerabilidad en Network Synchronizer de Bosch
Bosch ha informado sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante, no autorizado, acceso completo al dispositivo.
Recursos afectados:
Versiones anteriores a la 9.30 para:
- Bosch Network Synchronizer Enterprise.
- Bosch Network Synchronizer Standard.
Solución:
Actualizar Bosch Network Synchronizer a la versión 9.30.52153.
Múltiples vulnerabilidades en Planet IGS-4215-16T2S
Se han publicado 3 vulnerabilidades, 2 de severidad alta y una media, que afectan a Planet IGS-4215-16T2S, un conmutador industrial para mejorar la disponibilidad de aplicaciones empresariales críticas. Estos fallos podrían permitir a atacantes remotos acceder a recursos administrativos, engañar a usuarios autenticados para realizar acciones no autorizadas y ejecutar código arbitrario en el dispositivo.
Recursos afectados:
IGS-4215-16T2S, versión de firmware 1.305b210528.
Solución:
Las vulnerabilidades han sido solucionadas en la versión de firmware 1.305b231218.
Múltiples vulnerabilidades en productos de Atlassian
Atlassian ha informado sobre 25 vulnerabilidades, una de severidad crítica y 24 altas. Estos fallos podrían permitir a un atacante realizar inyección de SQL, denegación de servicio, acceder a directorios restringidos y ejecutar código remoto.
Recursos afectados:
- Bamboo Data Center and Server, versiones:
- desde 9.5.0 hasta 9.5.1
- desde 9.4.0 hasta 9.4.3
- desde 9.3.0 hasta 9.3.6
- desde 9.2.0 hasta 9.2.11 (LTS)
- desde 9.1.0 hasta 9.1.3
- desde 9.0.0 hasta 9.0.4
- desde 8.2.0 hasta 8.2.9
- cualquier versión anterior
- Bitbucket Data Center and Server, versiones:
- 8.18.0
- desde 8.17.0 hasta 8.17.1
- desde 8.16.0 hasta 8.16.2
- desde 8.15.0 hasta 8.15.3
- desde 8.14.0 hasta 8.14.4
- desde 8.13.0 hasta 8.13.5
- desde 8.12.0 hasta 8.12.3
- desde 8.11.0 hasta 8.11.1
- desde 8.10.0 hasta 8.10.1
- desde 8.9.0 hasta 8.9.9 (LTS)
- cualquier versión anterior (excepto 7.21.22)
- Confluence Data Center and Server, versiones:
- 8.8.0
- desde 8.7.0 hasta 8.7.2
- desde 8.6.0 hasta 8.6.2
- desde 8.5.0 hasta 8.5.6 (LTS)
- desde 8.4.0 hasta 8.4.5
- desde 8.3.0 hasta 8.3.4
- desde 8.2.0 hasta 8.2.3
- desde 8.1.0 hasta 8.1.4
- desde 8.0.0 hasta 8.0.4
- desde 7.20.0 hasta 7.20.3
- desde 7.19.0 (LTS) hasta 7.19.19 (LTS)
- desde 7.18.0 hasta 7.18.3
- desde 7.17.0 hasta 7.17.5
- cualquier versión anterior
- Jira Software Data Center and Server, versiones:
- desde 9.12.0 hasta 9.12.2 LTS
- desde 9.11.0 hasta 9.11.3
- desde 9.10.0 hasta 9.10.2
- desde 9.9.0 hasta 9.9.2
- desde 9.8.0 hasta 9.8.2
- desde 9.7.0 hasta 9.7.2
- 9.6.0
- desde 9.5.0 hasta 9.5.1
- desde 9.4.0 hasta 9.4.17 LTS
- desde 9.3.0 hasta 9.3.3
- desde 9.2.0 hasta 9.2.1
- desde 9.1.0 hasta 9.1.1
- 9.0.0
- cualquier versión anterior
Solución:
Actualizar los productos afectados a las versiones que aparecen listadas en la columna ‘ Fixed Versions‘.
Múltiples vulnerabilidades en el sistema CIGESv2
Se han publicado 7 vulnerabilidades, 3 de severidad crítica, 1 alta y 3 medias, que afectan al sistema de gestión de colas y citas previas CIGESv2.
Recursos afectados:
CIGESv2
Solución:
Todas las vulnerabilidades han sido solucionadas en la nueva versión del producto, CIGESv3.
Vulnerabilidad en EVO de Franklin Fueling System
Se ha detectado una vulnerabilidad de severidad alta en EVO de Franklin Fueling System, cuya explotación podría permitir a un atacante leer archivos arbitrarios en el sistema.
Recursos afectados:
Todas las versiones anteriores a 2.26.3.8963 de:
- EVO 550
- EVO 5000
Solución:
Actualizar a las últimas versiones:
- EVO550: 2.26.3.8963
- EVO5000: 2.26.3.8963
Múltiples vulnerabilidades en AMSS++ de Amssplus
Se han identificado 16 vulnerabilidades, 1 de severidad crítica y 15 altas, en AMSS++, herramienta para el sistema de apoyo a la gestión de oficinas del área de servicios educativos, de Amssplus. Estas vulnerabilidades
Recursos afectados:
AMSS++, versión 4.31.
Solución:
No hay solución reportada por el momento.
Múltiples vulnerabilidades HikCentral Professional de Hikvision
Se ha informado de dos vulnerabilidades, una de severidad alta y otra de severidad media, que afectan a HikCentral Professional de Hikvision. Su explotación podría permitir a un atacante obtener acceso a determinadas URL a las que no debería tener acceso o acceder a ciertos recursos a los que el atacante no debería tener acceso cambiando los valores de los parámetros.
Recursos afectados:
HikCentral Profesional:
Versiones inferiores a V2.5.1, incluida V2.5.1 (CVE-2024-25063).
Versiones posteriores a V2.0.0 y anteriores a V2.5.1 (CVE-2024-25064).
Solución:
Se recomienda ponerse en contacto con el equipo de soporte técnico.
Actualización- Múltiples vulnerabilidades en productos Fortinet
Fortinet ha publicado cuatro vulnerabilidades, tres de ellas de severidad crítica y el resto altas, cuya explotación podría permitir la ejecución de código arbitrario, la ejecución de comandos arbitrarios y la inyección de código SQL, pudiendo comprometer de esta manera el sistema de destino, incidiendo directamente sobre la confidencialidad, disponibilidad e integridad de los equipos vulnerables.
Recursos afectados:
Las vulnerabilidades reportadas afectan a los siguientes productos y a las versiones correspondientes:
- Versiones de FortiOS:
- 7.4.0-7.4.1
- 7.2.0-7.2.6
- 7.0.0-7.0.13
- 6.4.0-6.4.14
- 6.2.0-6.2.15
- Versiones de FortiProxy:
- 7.4.0 – 7.4.2
- 7.2.0 – 7.2.8
- 7.0.0 – 7.0.14
- 2.0.0 – 2.0.13
- Versiones de FortiClientEMS:
- 7.2.0-7.2.2
- 7.0.0-7.0.10
- Todas las versiones 6.4
- Todas las versiones 6.2
- Todas las versiones 6.0
Solución:
Con la publicación de las últimas actualizaciones de seguridad, Fortinet ha corregido las vulnerabilidades descritas. Desde la compañía se recomienda actualizar a las versiones destacadas:
- Para los productos FortiOS:
- Actualizar a FortiOS versión 7.4.2 o superior.
- Actualizar a FortiOS versión 7.2.7 o superior.
- Actualizar a FortiOS versión 7.0.14 o superior.
- Actualizar a FortiOS versión 6.4.15 o superior.
- Actualizar a FortiOS versión 6.2.16 o superior.
- Para los productos FortiProxy:
- Actualizar a FortiProxy versión 7.4.3 o superior.
- Actualizar a FortiProxy versión 7.2.9 o superior.
- Actualizar a FortiProxy versión 7.0.15 o superior.
- Actualizar a FortiProxy versión 2.0.14 o superior.
- Para los productos FortiClientEMS:
- Actualizar a FortiClientEMS versión 7.2.3 o superior.
- Actualizar a FortiClientEMS versión 7.0.11 o superior.
- Para las demás versiones afectadas, se recomienda migrar a una versión actualizada de FortiClientEMS.
Múltiples vulnerabilidades en productos Bosch
Se han detectado 5 vulnerabilidades, 1 de severidad alta y 4 medias, que están relacionadas con el uso de contraseñas, la gestión y los procesos de comunicación en RPS y RPS-LITE, e introducen la posibilidad de que un atacante comprometa el software.
Recursos afectados:
Versiones anteriores a 6.14.100 de Bosch Remote Programing Software (RPS y RPS Lite) en sistemas Windows.
Solución:
Actualizar el software de Bosch RPS/RPS-LITE a las versiones 6.14.100 o superiores.
Múltiples vulnerabilidades en productos de Wago
Se han identificado 2 vulnerabilidades, una de severidad alta y otra media, que afectan a múltiples productos de Wago. Un atacante remoto no autenticado podría provocar un desbordamiento del búfer para obtener acceso completo al dispositivo.
Recursos afectados:
Todas las versiones FW13 y anteriores de:
- Controller BACnet/IP
- Controller BACnet MS/TP
- Ethernet Controller 3rd Generation
- Fieldbus Coupler Ethernet 3rd Generation
Solución:
Se proporcionará una solución para los firmwares afectados con las siguientes versiones:
- FW13 instalado en 750-352/xxx-xxx
- FW13 instalado en 750-88x/xxx-xx
- FW13 instalado en 750-852
Múltiples vulnerabilidades en productos Mitsubishi Electric
Se han publicado cinco vulnerabilidades críticas que afectan a los módulos MELSEC-Q/L Series CPU de Mitsubishi Electric, cuya explotación podría permitir la divulgación de información o la ejecución remota de código.
Recursos afectados:
Todas las versiones de los productos:
- MELSEC-Q Series:
- Q03UDECPU
- Q04/06/10/13/20/26/50/100UDEHCPU
- Q03/04/06/13/26UDVCPU
- Q04/06/13/26UDPVCPU
- MELSEC-L Series:
- L02/06/26CPU(-P)
- L26CPU-(P)BT
Solución:
El fabricante publicará una versión correctora del firmware afectado en próximas fechas.
Múltiples vulnerabilidades en productos Fortinet
Se han reportado 3 vulnerabilidades, 2 críticas y 1 alta, que afectan a varios productos de Fortinet. La explotación de estas vulnerabilidades podría permitir la ejecución de código o comandos no autorizados.
Recursos afectados:
- FortiOS, versiones:
- desde 7.4.0 hasta 7.4.1
- desde 7.2.0 hasta 7.2.5
- desde 7.0.0 hasta 7.0.12
- desde 6.4.0 hasta 6.4.14
- desde 6.2.0 hasta 6.2.15
- FortiProxy, versiones:
- 7.4.0
- desde 7.2.0 hasta 7.2.6
- desde 7.0.0 hasta 7.0.12
- desde 2.0.0 hasta 2.0.13
- FortiClientEMS, versiones:
- desde 7.2.0 hasta 7.2.2
- desde 7.0.1 hasta 7.0.10
Solución:
Actualizar los productos afectados a las siguientes versiones o posteriores:
- FortiOS:
- 7.4.2
- 7.2.6
- 7.0.13
- 6.4.15
- 6.2.16
- FortiProxy:
- 7.4.1
- 7.2.7
- 7.0.13
- 2.0.14
- FortiSASE 23.3.b
- FortiClientEMS:
- 7.2.3
- 7.0.11
Actualización de seguridad de SAP
Se han detectado 10 vulnerabilidades en SAP. De ellas, 2 son de severidad crítica, 2 de severidad alta y el resto medias. Las vulnerabilidades podrían producir problemas de inyección de código, denegación de servicio y recorrido de ruta.
Recursos afectados:
- SAP Build Apps, versiones anteriores a 4.9.145.
- SAP NetWeaver AS Java (Administrator Log Viewer plug-in), versión 7.50.
- SAP HANA Database, versión 2.0.
- SAP HANA Extended Application Services Advanced (XS Advanced), versión 1.0.
- SAP BusinessObjects Business Intelligence Platform (Central Management Console), versión 4.3.
Solución:
Instalar las actualizaciones o los parches necesarios, según indique el fabricante.
Múltiples vulnerabilidades en router Movistar 4G
Se han identificado 3 vulnerabilidades, dos de severidad alta y una de severidad media, que afectan al router Movistar 4G. Estos fallos podrían permitir a los atacantes tomar el control del router 4G de Movistar, ejecutar comandos arbitrarios y comprometer la seguridad de la red y los datos.
Recursos afectados:
Router Movistar 4G, versión ES_WLD71-T1_v2.0.20182.
Solución:
Las vulnerabilidades han sido solucionadas en las versiones a partir de ES_WLD71-T1_v2.0.214140.
Vulnerabilidades en Microsoft
Se han detectado 68 vulnerabilidades en Microsoft. De ellas, 2 son de severidad crítica y el resto importantes. Los fallos críticos publicados podrían producir problemas de escalada de privilegios, ejecución remota de código, denegación de servicio, divulgación de información, omisión de comprobación de seguridad, spoofing y tampering.
Recursos afectados:
- Windows Defender
- Open Management Infrastructure
- Microsoft Authenticator
- .NET
- Microsoft Azure Kubernetes Service
- Role: Windows Hyper-V
- Skype for Consumer
- Software for Open Networking in the Cloud (SONiC)
- Microsoft Dynamics
- Azure SDK
- Microsoft Office SharePoint
- Windows Kerberos
- Windows USB Hub Driver
- Windows USB Serial Driver
- Windows Hypervisor-Protected Code Integrity
- Windows Update Stack
- Windows Print Spooler Components
- Microsoft Windows SCSI Class System File
- Windows OLE
- Windows Installer
- Microsoft Graphics Component
- Windows AllJoyn API
- Windows Telephony Server
- Windows ODBC Driver
- Microsoft WDAC OLE DB provider for SQL
- Windows USB Print Driver
- Windows Kernel
- Windows NTFS
- Microsoft Teams for Android
- Microsoft WDAC ODBC Driver
- Windows Cloud Files Mini Filter Driver
- SQL Server
- Visual Studio Code
- Microsoft Edge for Android
- Windows Error Reporting
- Windows Composite Image File System
- Windows Compressed Folder
- Microsoft QUIC
- Windows Standards-Based Storage Management Service
- Microsoft Exchange Server
- Microsoft Office
- Microsoft Intune
- Azure Data Studio
- Outlook for Android
Solución:
Instalar la actualización de seguridad correspondiente.
Múltiples vulnerabilidades en Phoenix Contact
Se han publicado 13 vulnerabilidades, 1 de severidad crítica, 7 altas y 5 medias, que afectan a CHARX SEC de Phoenix Contact. Su explotación podría provocar que un atacante ejecute código remoto y obtener privilegios de root.
Recursos afectados:
CHARX SEC-3000, 3050, 3100 y 3150 versiones 1.5.0 y anteriores.
Solución:
Actualizar a la versión de firmware v1.5.1 o superior.
Vulnerabilidades en Siemens
Siemens ha publicado 11 nuevos avisos de seguridad, recopilando un total de 214 vulnerabilidades de distintas severidades. Las vulnerabilidades de severidad crítica identificadas podrían producir problemas de desbordamiento de búfer, validación incorrecta de datos de entrada, control de acceso inadecuado, escritura fuera de límites, uso de una cadena de formato controlada externamente, doble llamada a la misma dirección de memoria, referencia a memoria ya liberada, comprobación inadecuada de condiciones inusuales o excepcionales, lectura fuera de límites.
Recursos afectados:
- Siveillance Control
- Cerberus PRO EN
- SCALANCE
- SIPLUS
- RUGGEDCOM APE1808
- Solid Edge
- SINEMA Remote Connect Server/Client
- SIMATIC RF160B
- SENTRON 7KM y 3KC
Solución:
Las actualizaciones que corrigen las vulnerabilidades identificadas se pueden obtener desde el panel de descargas de Siemens.
Múltiples vulnerabilidades en productos Schneider Electric
Schneider Electric ha publicado 4 vulnerabilidades, 1 de severidad crítica y 3 altas, que podrían dar lugar a un acceso no autorizado a los datos y poner en peligro el dispositivo o ejecución remota de código.
Recursos afectados:
- Todas las versiones de EcoStruxure Power Design – Ecodial: NL, INT y FR.
- Easergy T200. Models: T200I, T200E, T200P, T200S, T200H:
- Modbus: versión SC2-04MOD-07000104 y anteriores.
- IEC104: versión SC2-04IEC-07000104 y anteriores.
- DNP3: versión SC2-04DNP-07000104 y anteriores.
Solución:
- Todas las versiones de EcoStruxure Power Design – Ecodial: NL, INT y FR.
- Easergy T200. Models: T200I, T200E, T200P, T200S, T200H:
- Modbus: versión SC2-04MOD-07000104 y anteriores.
- IEC104: versión SC2-04IEC-07000104 y anteriores.
- DNP3: versión SC2-04DNP-07000104 y anteriores.
Vulnerabilidad crítica en ManageEngine Desktop Central
Se ha publicado una vulnerabilidad de severidad critica que afecta a ManageEngine Desktop Central (ahora conocida como Endpoint Central), cuya explotación podría permitir a un atacante remoto cargar un archivo malicioso en el sistema sin ninguna credencial proporcionada.
Recursos afectados:
ManageEngine Desktop Central, versión 9, build 90055.
Solución:
La vulnerabilidad ha sido resuelta en las nuevas versiones del producto afectado.
Múltiples vulnerabilidades en QNAP
Se han detectado múltiples vulnerabilidades que afectan a algunos sistemas operativos y versiones de aplicaciones de QNAP. La explotación exitosa de estos fallos podría permitir a un atacante comprometer la seguridad del sistema, ejecutar comandos e inyectar código malicioso a través de una red.
Recursos afectados:
- QTS 5.1.x: versiones anteriores a QTS 5.1.3.2578, compilación 20231110.
- QTS 4.5.x: versiones anteriores a QTS 4.5.4.2627, compilación 20231225.
- QuTS hero h5.1.x: versiones anteriores a QuTS hero h5.1.3.2578, compilación 20231110.
- QuTS hero h4.5.x: versiones anteriores a QuTS hero h4.5.4.2626, compilación 20231225.
- QuTScloud c5.x: versiones anteriores a QuTScloud c5.1.5.2651.
- myQNAPcloud 1.0.x: versiones anteriores a myQNAPcloud 1.0.52 (24/11/2023).
Solución:
Para corregir estas vulnerabilidades, se recomienda actualizar lo antes posible a la última versión disponible.
Vulnerabilidades en Android
En el boletín de seguridad lanzado por Android se solucionan varias vulnerabilidades, de severidad crítica y alta, que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar la ejecución remota de código sin necesidad de privilegios de ejecución adicionales.
Recursos afectados:
- Android Open Source Project (AOSP), tipo RCE y EoP, versiones 12, 12L, 13, 14.
- Qualcomm closed-source component.
Solución:
Actualizar los parches de seguridad publicados por el fabricante.
Múltiples vulnerabilidades en JETBRAINS TEAMCITY ON-PREMISES
Se han descubierto dos vulnerabilidades, una de severidad crítica y otra alta, que afectan a JetBrains TeamCity On-Premises. Los dos fallos son de tipo omisión de autenticación.
Recursos afectados:
TeamCity On-Premises, todas las versiones hasta 2023.11.3.
Solución:
Actualizar manualmente TeamCity On-Premises a la versión 2023.11.4, o emplear la opción de actualización automática.
En caso de no actualizar a la versión correctora, JetBrains ha publicado un parche de seguridad para versiones de TeamCity 2018.2 y posteriores, o 2018.1 y anteriores.
by 