Autor: Seguridad CSIRT-CV

Brian Hysell (Synopsys CyRC) ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante tomar el control de una cuenta de administrador.

Análisis

La falta de autenticación para una función crítica en Expedition de Palo Alto Networks podría dar lugar a una toma de control de la cuenta de administrador de Expedition por parte de atacantes con acceso de red.

Expedition es una herramienta que ayuda a migrar, ajustar y enriquecer la configuración. Palo Alto Networks indica que los secretos de configuración, las credenciales y otros datos importados en Expedition corren peligro debido a la vulnerabilidad reportada.

Se ha asignado el identificador CVE-2024-5910 con puntuación CVSSv4.0 de 9.3 para esta vulnerabilidad.

Versiones afectadas

Versiones anteriores a la 1.2.92.

Recomendaciones

Se recomienda actualizar a la versión 1.2.92 o superior.

Referencias

• • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-falta-autenticacion-en-expedition-de-palo-alto-networks
  • https://security.paloaltonetworks.com/CVE-2024-5910
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-5910

Los investigadores de Morphisec han identificado una vulnerabilidad importante, CVE-2024-38021, una vulnerabilidad de ejecución remota de código que no requiere interacción del usuario y que afecta a la mayoría de las aplicaciones de Microsoft Outlook.

Análisis
Microsoft ha evaluado esta vulnerabilidad con un nivel de gravedad «Importante». Su evaluación distingue entre remitentes de confianza y no de confianza, señalando que mientras que la vulnerabilidad no necesita interacción para los remitentes de confianza, requiere un clic de interacción del usuario para los remitentes no de confianza. Si se explota, CVE-2024-38021 puede dar lugar a exfiltración de datos, accesos no autorizados y otras actividades maliciosas.

Como se ha comentado, esta vulnerabilidad tiene cve-2024-38021 y su puntuación CVSS3.1 es 8.8.

Recomendaciones
Se recomienda que tanto Outlook como todas las aplicaciones del paquete Office 365 sean actualizadas a la última versión.

Referencias

• • https://blog.morphisec.com/cve-2024-38021-microsoft-outlook-moniker-rce-vulnerability
  • https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2024-38021
  • https://www.cve.org/CVERecord?id=CVE-2024-38021

Un grupo de hackers están tratando de explotar una vulnerabilidad en el plugin Modern Events Calendar WordPress que está presente en más de 150.000 sitios web para cargar archivos arbitrarios en un sitio vulnerable y ejecutar código de forma remota.

El plugin está desarrollado por Webnus y se utiliza para organizar y gestionar eventos presenciales, virtuales o híbridos.

Análisis
Wordfence afirma que el problema de seguridad se debe a una falta de validación del tipo de archivo en la función que se utiliza para subir y configurar las imágenes destacadas de los eventos.

Las versiones hasta la 7.11.0 inclusive no tienen comprobaciones del tipo de extensión de los archivos de imagen subidos, permitiendo subir cualquier tipo de archivo, incluidos los arriesgados archivos .PHP.
Una vez subidos, se puede acceder a estos archivos y ejecutarlos, lo que permite la ejecución remota de código en el servidor y, potencialmente, el control total del sitio web.

Se le ha asignado el identificador CVE-2024-5441 y se ha categorizado como alta con un CVSS v3.1 de 8.8.

Versiones afectadas
Versiones anteriores e incluyendo la 7.11.0.

Recomendaciones
Actualizar a la versión 7.12.0

Referencias
https://www.bleepingcomputer.com/news/security/hackers-target-wordpress-calendar-plugin-used-by-150-000-sites/

La publicación de actualizaciones de seguridad de Microsoft, correspondiente a la publicación de vulnerabilidades del 10 de julio, consta de 139 vulnerabilidades (con CVE asignado), calificada 4 como críticas, 115 como importantes y el resto divididas entre moderadas y bajas.

Análisis

Las vulnerabilidades de severidad crítica publicadas se les asignaron los siguientes indicadores:

• • CVE-2024-38076: se trata de una vulnerabilidad de ejecución de código remoto que afecta a Windows Remote Desktop;
  • CVE-2024-38089: se trata de una vulnerabilidad de elevación de privilegios que afecta a Microsoft Defender for IoT;
  • CVE-2024-38077 y CVE-2024-38074: ambas de ejecución de código en remoto y afectan al mismo producto, Windows Remote Desktop Licensing Service.

El resto de vulnerabilidades afectan productos como Windows, Azure, Office ,.NET, Visual Studio, Defender y SQL server, entre otros y pueden consultarse en las páginas listadas abajo.

Solución

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

 

Referencias y enlaces de interés

https://msrc.microsoft.com/update-guide/releaseNote/2024-Jul

https://msrc.microsoft.com/update-guide

https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-julio-de-2024