Múltiples vulnerabilidades en productos de Moxa

Se ha informado de varias vulnerabilidades en el servidor web de las series TN-5900 y TN-4900 de Moxa. La explotación de estos fallos podría dar lugar a la denegación de servicio, la ejecución remota de código o una escalada de privilegios. 

Recursos afectados:

• EDR-810 Series, versiones de firmware 5.12.27 y anteriores
• EDR-G902 Series, versiones de firmware 5.7.17 y anteriores
• EDR-G903 Series, versiones de firmware 5.7.15 y anteriores
• EDR-G9010 Series, versiones de firmware 2.1 y anteriores
• NAT-102 Series, versiones de firmware 1.0.3 y anteriores

Solución:

• EDR-810 Series: actualizar al firmware v5.12.29 o superior
• EDR-G902 Series: actualizar al firmware v5.7.21 o superior
• EDR-G903 Series: actualizar al firmware v5.7.21 o superior
• EDR-G9010 Series: actualizar al firmware v3.0 o superior
• NAT-102 Series: actualizar al firmware v1.0.5 o superior

Vulnerabilidad en Cisco IOS XE

Cico ha publicado una vulnerabilidd de severdiad alta en la que un atacante podría aumentar los provilegios a root y escribir en el sistema de archivos.

Recursos afectados:

Cisco IOS XE

Solución:

Cisco recomienda desactivar la función del servidor HTTP en todos los sistemas con acceso a Internet.

Vulnerabilidades en Expat (libexpat) de productos Yokogawa

Se han encontrado dos vulnerabilidades de severidad alta en en la librería del analizador XML «Expat (libexpat)» de productos Yokogawa. Su explotación podría permitir a un atacante evaluar una denegación de servicio o una ejecución de código potencialmente arbitraria.

Recursos afectados:

Network Switch for Vnet/IP en versiones de software 09.1.07 o anteriores:

• GRVSW-663FA
• GRVSW-664FA
• GRVSW-665FA
• GRVSW-666FA
• GRVSW-667FA
• GRVSW-668FA
• GRVSW-669FA
• GRVSW-670FA
• GRVSW-671FA
• GRVSW-672FA
• GRVSW-673FA
• GRVSW-660FA
• GRVSW-661FA
• GRVSW-662FA

Solución:

Actualizar a la versión 09.1.08 o posterior.

Actualizaciones críticas en Oracle

Oracle ha publicado una actualización crítica que soluciona 387 vulnerabilidades, algunas de las cuales son críticas, que afectan a múltiples productos.

Recursos afectados:

• BI Publisher, versiones 6.4.0.0.0, 7.0.0.0.0, 12.2.1.4.0
• GoldenGate Big Data, versiones 21.3-21.10
• GoldenGate Veridata, versiones 12.2.1.4.0-12.2.1.4.230922
• Hospitality OPERA 5 Property Services, versión 5.6
• JD Edwards EnterpriseOne Tools, versión 9.2.7
• Management Cloud Engine, versión 23.1.0.0
• MySQL Cluster, versiones 8.0.34 y anteriores, 8.1.0
• MySQL Connectors, versiones 8.1.0 y anteriores
• MySQL Enterprise Monitor, versiones 8.0.35 y anteriores
• MySQL Installer, versiones anteriores a 1.6.8
• MySQL Server, versiones 5.7.43 y anteriores, 8.0.34 y anteriores, 8.1.0 y anteriores
• MySQL Shell, versiones 8.1.1 y anteriores
• Oracle Access Manager, versión 12.2.1.4.0
• Oracle Agile PLM, versión 9.3.6
• Oracle Application Testing Suite, versión 13.3.0.1
• Oracle Banking APIs, versiones 18.3, 19.1, 19.2, 21.1, 22.1, 22.2
• Oracle Banking Branch, versiones 14.5-14.7
• Oracle Banking Cash Management, versiones 14.5-14.7
• Oracle Banking Corporate Lending, versiones 14.0-14.3, 14.5-14.7
• Oracle Banking Corporate Lending Process Management, versiones 14.5-14.7
• Oracle Banking Credit Facilities Process Management, versiones 14.5-14.7
• Oracle Banking Deposits y Lines of Credit Servicing, versiones 2.7, 2.12
• Oracle Banking Digital Experience, versiones 18.3, 19.1, 19.2, 21.1, 22.1, 22.2
• Oracle Banking Electronic Data Exchange for Corporates, versiones 14.5-14.7
• Oracle Banking Liquidity Management, versiones 14.5-14.7
• Oracle Banking Loans Servicing, versión 2.12
• Oracle Banking Origination, versiones 14.5-14.7
• Oracle Banking Party Management, versión 2.7
• Oracle Banking Payments, versiones 14.0-14.3, 14.5-14.7
• Oracle Banking Platform, versiones 2.6.2, 2.9.0
• Oracle Banking Supply Chain Finance, versiones 14.5-14.7
• Oracle Banking Trade Finance, versiones 14.5-14.7
• Oracle Banking Trade Finance Process Management, versiones 14.5-14.7
• Oracle Banking Virtual Account Management, versiones 14.5-14.7
• Oracle Big Data Spatial y Graph, versiones 2.5 y anteriores
• Oracle Business Intelligence Enterprise Edition, versiones 6.4.0.0.0, 7.0.0.0.0, 12.2.1.4.0
• Oracle Business Process Management Suite, versión 12.2.1.4.0
• Oracle Coherence, versiones 12.2.1.4.0, 14.1.1.0.0
• Oracle Commerce Guided Search, versión 11.3.2
• Oracle Communications BRM – Elastic Charging Engine, versiones 12.0.0.4-12.0.0.8
• Oracle Communications Cloud Native Core Binding Support Function, versiones 23.1.0-23.1.8, 23.2.0-23.2.4
• Oracle Communications Cloud Native Core Console, versiones 23.1.1, 23.1.2, 23.2.1
• Oracle Communications Cloud Native Core Network Exposure Function, versiones 23.1.3, 23.3.0
• Oracle Communications Cloud Native Core Network Function Cloud Native Environment, versiones 23.2.0, 23.2.2
• Oracle Communications Cloud Native Core Network Repository Function, versiones 23.1.3, 23.2.1, 23.3.0
• Oracle Communications Cloud Native Core Policy, versiones 23.1.0-23.1.8, 23.2.0-23.2.4
• Oracle Communications Cloud Native Core Security Edge Protection Proxy, versiones 23.1.0, 23.1.3, 23.3.0
• Oracle Communications Cloud Native Core Unified Data Repository, versión 23.1.2
• Oracle Communications Convergent Charging Controller, versión 12.0.6.0
• Oracle Communications Diameter Signaling Router, versiones 8.6.0.0, 9.0.0.0
• Oracle Communications Element Manager, versiones 9.0.0-9.0.2
• Oracle Communications IP Service Activator, versiones 7.4.0, 7.5.0
• Oracle Communications MetaSolv Solution, versión 6.3.1.0.0
• Oracle Communications Network Analytics Data Director, versión 23.2.0
• Oracle Communications Network Charging y Control, versión 12.0.6.0
• Oracle Communications Order y Service Management, versiones 7.4.0, 7.4.1
• Oracle Communications Policy Management, versión 12.6.0.0
• Oracle Communications Session Report Manager, versiones 9.0.0-9.0.2
• Oracle Communications Unified Assurance, versiones 5.5.0-5.5.17, 6.0.0-6.0.3
• Oracle Communications WebRTC Session Controller, versiones 7.2.0.0.0, 7.2.1.0.0
• Oracle Data Integrator, versión 12.2.1.4.0
• Oracle Database Server, versiones 19.3-19.20, 21.3-21.11
• Oracle Documaker, versiones 12.6.4-12.7.1
• Oracle E-Business Suite, versiones 12.2.3-12.2.12, [ECC] 8, [ECC] 9, [ECC] 1
• Oracle Enterprise Communications Broker, versiones 3.3, 4.0, 4.1
• Oracle Enterprise Data Quality, versión 12.2.1.4.0
• Oracle Enterprise Manager Base Platform, versión 13.5.0.0
• Oracle Enterprise Manager for Peoplesoft, versión 13.5.1.1
• Oracle Enterprise Manager Ops Center, versión 12.4.0.0
• Oracle Enterprise Operations Monitor, versiones 5.0, 5.1
• Oracle Enterprise Session Border Controller, versiones 9.0-9.2
• Oracle Essbase, versión 21.5.0.0.0
• Oracle Financial Services Cash Flow Engine, versión 8.1.2.0.0
• Oracle Financial Services Model Management y Governance, versiones 8.1.2.3, 8.1.2.4
• Oracle FLEXCUBE Core Banking, versiones 11.6-11.8, 11.10, 11.11
• Oracle FLEXCUBE Enterprise Limits y Collateral Management, versiones 12.3, 12.4, 14.0-14.3, 14.5-14.7
• Oracle FLEXCUBE Universal Banking, versiones 12.3, 12.4, 14.0-14.3, 14.5-14.7
• Oracle Fusion Middleware MapViewer, versión 12.2.1.4.0
• Oracle Global Lifecycle Management OPatch, versiones anteriores a 12.2.0.1.40
• Oracle GoldenGate Studio, versión 12.2.1.4.0
• Oracle GraalVM for JDK, versiones 17.0.8, 20.0.2
• Oracle Graph Server y Client, versiones 22.4.4 y anteriores
• Oracle Healthcare Master Person Index, versiones 5.0.0-5.0.6
• Oracle HTTP Server, versión 12.2.1.4.0
• Oracle Hyperion Infrastructure Technology, versión 11.2.14.0.0
• Oracle Identity Manager, versión 12.2.1.4.0
• Oracle Java SE, versiones 8u381, 8u381-perf, 11.0.20, 17.0.8, 20.0.2
• Oracle Life Sciences InForm, versión 7.0.0.0
• Oracle Life Sciences InForm Publisher, versión 6.3.1.0
• Oracle Managed File Transfer, versión 12.2.1.4.0
• Oracle Middleware Common Libraries y Tools, versión 12.2.1.4.0
• Oracle Outside In Technology, versión 8.5.6
• Oracle REST Data Services, versiones anteriores a 23.2.2
• Oracle Retail Bulk Data Integration, versiones 16.0.3, 19.0.1
• Oracle Retail Customer Management y Segmentation Foundation, versiones 18.0.0.13, 19.0.0.7
• Oracle Retail EFTLink, versiones 20.0.1, 21.0.0, 22.0.0
• Oracle Retail Financial Integration, versiones 14.1.3.2, 15.0.3.1, 16.0.3, 19.0.1
• Oracle Retail Fiscal Management, versión 14.2
• Oracle Retail Integration Bus, versiones 14.1.3.2, 15.0.3.1, 16.0.3, 19.0.1
• Oracle Retail Merchandising System, versión 19.0.1
• Oracle Retail Service Backbone, versiones 14.1.3.2, 15.0.3.1, 16.0.3, 19.0.1
• Oracle Retail Xstore Point of Service, versiones 18.0.5, 19.0.4, 20.0.3, 21.0.2, 22.0.0
• Oracle SD-WAN Edge, versiones 9.1.1.5.0, 9.1.1.6.0
• Oracle Secure Backup, versiones 18.1.0.1.0, 18.1.0.2.0
• Oracle Service Bus, versión 12.2.1.4.0
• Oracle SOA Suite, versión 12.2.1.4.0
• Oracle Solaris, versiones 10, 11
• Oracle Unified Directory, versión 12.2.1.4.0
• Oracle Utilities Application Framework, versiones 4.2.0.3.0, 4.3.0.1.0-4.3.0.6.0, 4.4.0.0.0, 4.4.0.2.0, 4.4.0.3.0, 4.5.0.0.0, 4.5.0.0.1, 4.5.0.1.0-4.5.0.1.2
• Oracle Utilities Network Management System, versiones 2.3.0.2, 2.4.0.1
• Oracle VM VirtualBox, versiones anteriores a 7.0.12
• Oracle WebCenter Content, versión 12.2.1.4.0
• Oracle WebCenter Portal, versión 12.2.1.4.0
• Oracle WebLogic Server, versiones 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0
• PeopleSoft Enterprise CC Common Application Objects, versión 9.2
• PeopleSoft Enterprise HCM Global Payroll Switzerland, versión 9.2
• PeopleSoft Enterprise PeopleTools, versiones 8.59, 8.60
• Primavera Gateway, versiones 19.12.0-19.12.17, 20.12.0-20.12.12, 21.12.0-21.12.10
• Primavera Unifier, versiones 19.12.0-19.12.16, 20.12.0-20.12.16, 21.12.0-21.12.16, 22.12.0-22.12.9
• Siebel Applications, versiones 23.8 y anteriores
• Sun ZFS Storage Appliance, versión 8.8.60
• TimesTen In-Memory Database, versiones anteriores a 18.1.4.38.0, anteriores a 18.1.4.39.0, anteriores a 22.1.1.18.0

Solución:

Aplicar los parches correspondientes según los productos afectados.

Múltiples vulnerabilidades en Liferay

Liferay ha publicado 5 vulnerabilidades de severidad crítica que afectan a varias versiones de sus productos DXP y Portal. Las vulnerabilidades identificadas son de tipo Cross-Site Scripting (XSS) reflejado o indirecto y Cross-Site Scripting (XSS) persistente o directo.

Recursos afectados:

• Liferay DXP 7.3 fix pack 1, hasta la actualización 23.
• Liferay DXP 7.4, antes de la actualización 89.
• Liferay Portal, desde 7.3.6 hasta 7.4.3.89.

Solución:

• Liferay DXP 7.3, actualización 24
• Liferay DXP 7.4, actualización 90
• Liferay Portal 7.4.3.90

Múltiples vulnerabilidades en Moodle

Se han identificado 4 vulnerabilidades de severidad alta y varias bajas. La explotación de estos fallos podría producir problemas de ejecución remota de código en la actividad Lesson, ejecución remota de código en la actividad IMSCP y XSS.

Recursos afectados:

Las siguientes versiones de Moodle se ven afectadas:

• Desde 4.2 hasta 4.2.2
• Desde 4.1 hasta 4.1.5
• Desde 4.0 hasta 4.0.10
• Desde 3.11 hasta 3.11.16
• Desde 3.9 hasta 3.9.23
• Versiones anteriores sin soporte

Solución:

Actualizar a las versiones 4.2.3, 4.1.6, 4.0.11, 3.11.17 y 3.9.24.

Vulnerabilidad crítica en Cisco IOS XE

Se ha descubierto una vulnerabilidad de severidad crítica en Cisco IOS XE, cuya explotación podría permitir a un atacante crear una cuenta y hacerse con el control del sistema afectado.

Recursos afectados:

Cisco IOS XE

Solución:

Por el momento, no se ha publicado ninguna solución que aborde esta vulnerabilidad.

Vulnerabilidades en Adobe Commerce y Magento

Adobe ha publicado una nueva actualización de seguridad que corrige múltiples vulnerabilidades, de severidad crítica y alta, en Adobe Commerce y Magento. La explotación exitosa de estos fallos podría permitir a un ciberdelincuente la ejecución de código arbitrario, escalada de privilegios, lectura arbitraria del sistema de archivos, omisión de funciones de seguridad y denegación de servicio de aplicaciones.

Recursos afectados:

•  Adobe Commerce, versiones 2.4.7-beta1; 2.4.6-p2; 2.4.5-p4; 2.4.4-p5; 2.4.3-ext-4; 2.4.2-ext-4; 2.4.1-ext-4; 2.4.0-ext-4; 2.3.7-p4-ext-4 y anteriores.
• Magento Open Source, versiones 2.4.7-beta1; 2.4.6-p2; 2.4.5-p4; 2.4.4-p5 y anteriores.

Solución:

Adobe recomienda actualizar los productos a la última versión disponible.

Vulnerabilidades en Siemens

Siemens ha publicado 12 nuevos avisos de seguridad, recopilando un total de 38 vulnerabilidades de distintas severidades. Las vulnerabilidades de severidad crítica identificadas podrían producir problemas de uso de credenciales codificadas, ejecución de código y desbordamiento de búfer.

Recursos afectados:

• SICAM PAS/PQS
• SICAM A8000 CP-8031 y CP-8050
• SINEC NMS
• Mendix
• Simcenter Amesim
• Siemens Tecnomatix Plant Simulation
• SINEMA Server V14
• RUGGEDCOM APE1808
• SIMATIC CP (1604, 1616, 1623, 1626, 1628);
• Xpedition Layout Browser
• SCALANCE W1750D

Solución:

Las actualizaciones que corrigen las vulnerabilidades identificadas se pueden obtener desde el panel de descargas de Siemens.

Múltiples vulnerabilidades en productos Schneider Electric

Se han detectado tres vulnerabilidades de severidad crítica que afectan a múltiples productos de Schneider Electric. Todas ellas, podrían permitir la ejecución de código remoto por parte de un atacante.

Recursos afectados:

• SpaceLogic C-Bus Toolkit, versiones 1.16.3 y anteriores.
• Todas las versiones anteriores a la aplicación del hotfix 145271 en los productos:
  • EcoStruxure Power Monitoring Expert (PME)
  • EcoStruxure Power Operation (EPO) con Advanced Reports
  • EcoStruxure Power SCADA Operation con Advanced Reports

Solución:

• Actualizar SpaceLogic C-Bus Toolkit a la versión 1.16.4 y reiniciar el equipo posteriormente.
• Descargar los hotfixes disponibles en el centro de atención al cliente para aplicar a las versiones:
  • 2023, 2022, y 2021 de EcoStruxure PME
  • 2022 y 2021 de EcoStruxure EPO

Vulnerabilidad en KV STUDIO y KV REPLAY VIEWER de Keyence  

Se ha publicado una vulnerabilidad de severidad alta en KV STUDIO y KV REPLAY VIEWER de Keyence que, en caso de ser explotada, podría permitir a un atacante divulgar información o ejecutar código arbitrario haciendo que un usuario abra un archivo especialmente diseñado.

Recursos afectados:

• KV STUDIO v11.62 y anteriores.
• KV REPLAY VIEWER v2.62 y anteriores.

Solución:

Actualizar el software a la última versión

Vulnerabilidad crítica en el Confluence Data Center y Server de Atlassian

Se ha detectado una vulnerabilidad de severidad crítica en el Confluence Data Center y Server de Atlassian. La explotación de esta vulnerabilidad podría permitir a atacantes externos acceder y crear cuentas de administrador, no autorizadas, y generar instancias en los recursos afectados provocando una escalada de privilegios.

Recursos afectados:

Confluence Data Center y Confluence Server versiones: 8.0.0, 8.0.1, 8.0.2, 8.0.3, 8.0.4, 8.1.0, 8.1.1, 8.1.3, 8.1.4, 8.2.0, 8.2.1, 8.2.2, 8.2.3, 8.3.0, 8.3.1, 8.3.2, 8.4.0, 8.4.1, 8.4.2, 8.5.0 y 8.5.1.

Solución:

Actualizar a las versiones:

• 8.3.3 o posterior.
• 8.4.3 o posterior.
• 8.5.2 (versión de soporte a largo plazo) o posterior.

Múltiples vulnerabilidades en Hitachi Energy

Hitachi Energy ha publicado 14 vulnerabilidades, 7 de severidad crítica y el resto altas, que podrían tener un gran impacto en la disponibilidad, integridad y confidencialidad de los dispositivos objetivo.

Recursos afectados:

Los siguientes productos y versiones de Hitachi Energy se ven afectados:

• AFF66X FW: 03.0.02 y anteriores
• AFS66X-S: Todas las versiones
• AFS660-C: Todas las versiones
• AFS66X-B: Todas las versiones
• AFS670-V20: Todas las versiones
• AFS65X: Todas las versiones
• AFS67X: Todas las versiones
• AFR677: Todas las versiones

Solución:

• AFF66X FW 03.0.02 y anteriores: actualizar al próximo FW AFF66X 04.x.xx cuando se lance.
• AFS66X-S, AFS660-C, AFS66X-B, AFS670-V20: actualizar al próximo FW AFS66X, AFS670-V20 7.1.08 cuando se lance.
• AFS65X, AFS67X, AFR677: actualizar a AFS65X, AFS67X, AFR677 09.1.08 FW.

Vulnerabilidad crítica en NiceVision de Qognify

Se ha notificado una vulnerabilidad de severidad crítica en NiceVision de Qognify que podría permitir a un atacante recuperar información confidencial sobre las cámaras administradas por la plataforma y sus usuarios.

Recursos afectados:

NiceVision: v3.1 y anteriores.

Solución:

Actualizar a la nueva versión NiceVision v3.2 UP2 HF2.

Vulnerabilidad en librería glibc de distribuciones Linux

Se ha descubierto una vulnerabilidad de severidad alta, de tipo desbordamiento de búfer, que afecta a GNU C Library. La explotación de este fallo podría permitir una escalada local de privilegios que otorgase privilegios completos de root.

Recursos afectados:

Distribuciones de Linux confirmadas como vulnerables:

• Fedora 37 y 38
• Ubuntu 22.04 y 23.04
• Debian 12 y 13

Solución:  

Aplicar las medidas de mitigación descritas en el aviso de RedHat .

Actualización – Múltiples vulnerabilidades en productos Exim

Se han publicado 4 vulnerabilidades, una de severidad crítica y el resto altas, en productos Exim. Su explotación permitiría a un atacante remoto ejecutar código arbitrario en las instalaciones afectadas.

Recursos afectados:

• Exim v4.96
• libspf2

Solución:

Las vulnerabilidades CVE-2023-42115 y CVE-2023-42116 se han solucionado en las siguientes versiones:

• 96.1, 4.97

Se han proporcionado medidas de mitigación para las vulnerabilidades CVE-2023-42117 y CVE-2023-42118 respectivamente:

• No utilice Exim detrás de un proxy-protocolo no fiable.
• No utilice la condición «spf» en su ACL.

Vulnerabilidades en Android

En el boletín de seguridad lanzado por Android se solucionan varias vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, cuya explotación podría provocar una escalada de privilegios, divulgar información, provocar una denegación de servicio (DoS) o hacer una ejecución de código remota (RCE).

Recursos afectados:

• Android Open Source Project (AOSP): versiones 11, 12, 12L y 13.
• Componentes:
  • framework
  • system
  • sistema de actualizaciones de Google Play
  • Arm
  • MediaTek
  • Qualcomm (incluidos closed-source )

Solución:

Actualizar los parches de seguridad publicados por el fabricante.

Vulnerabilidad en OsCommerce

Se ha detectado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en OsCommerce. Este fallo podría permitir a un atacante inyectar código malicioso con la finalidad de ejecutarlo posteriormente en el navegador web de otro usuario sin autorización.

Recursos afectados:

Os Commerce, versión 4.12.56860.

Solución:

Actualmente no se ha publicado ninguna solución para esta vulnerabilidad.

by