Categoría: Actualidad

Introducción

Neil Graves, Jorian van den Hout, y Malcolm Stagg han reportado al CISA^[1] múltiples vulnerabilidades, en la aplicación web de Iagona ScrutisWeb que podría permitir que un usuario no autenticado acceda directamente a cualquier archivo fuera de webroot, ver la información del perfil, incluidos los nombres de inicio de sesión de los usuarios y las contraseñas cifradas, encriptar y desencriptar contraseñas a texto plano e incluso cargar ficheros maliciosos y ejecutarlos.

Análisis

La vulnerabilidad de severidad crítica afecta a la versión 2.1.37 y anteriores de ScrutisWeb y se le ha asignado el siguiente identificador.

• • CVE-2023-35189: Vulnerabilidad de ejecución remota de código que podría permitir que un usuario no autenticado cargue un fichero malicioso y lo ejecute. Tiene una puntuación de 10.0 en CVSS v3

Recomendaciones

El fabricante, Iagona, recomienda a los usuarios que actualicen a la versión 2.1.38.

Referencias

INTRODUCCIÓN

•     Escalada de privilegios
•     Anulación de funciones de seguridad
•     Suplantación de identidad
•     Divulgación de información
•     Secuencias de comandos en sitios cruzados
•     Ejecución remota de código
•     Denegación de servicio

•     CVE-2023-32046: vulnerabilidad que podría permitir una escalada de privilegios en equipos Windows10.
•     CVE-2023-32049: vulnerabilidad que podría permitir una anulación de funciones de seguridad en equipos Windows10.
•     CVE-2023-35311: vulnerabilidad que podría provocar una anulación de funciones de seguridad en Microsoft Office, Microsoft 365 Apps y Microsoft Outlook.
•     CVE-2023-36874: vulnerabilidad que podría provocar una escalada de privilegios en Windows Server 2008 y 2012.
•     CVE-2023-36884 vulnerabilidad que podría provocar una ejecución remota de código en equipos Windows10, Windows Server y Microsoft Office.

•     https://msrc.microsoft.com/update-guide/releaseNote/2023-Jul
•     https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-microsoft-de-julio-de-2023
•     https://thehackernews.com/2023/07/microsoft-releases-patches-for-130.html
•     https://www.darkreading.com/application-security/microsoft-discloses–zero-days-in-voluminous-july-security-update
• •  

Introducción

Rockwell Automation^[1] ha informado de una vulnerabilidad de severidad crítica que podría dar lugar a la divulgación de información confidencial y al acceso remoto completo a los productos afectados.

Análisis

La vulnerabilidad de severidad crítica afecta a la versión 1.001 del Enhanced HIM y se le ha asignado el siguiente identificador.

• • CVE-2023-2746: La vulnerabilidad podría provocar que un atacante, a través de técnicas de ingeniaría social, convenza a la víctima para pulsar en un enlace fraudulento o realizar con éxito un Cross Site Scripting (XSS) provocando así una divulgación de información o acceso remoto al dispositivo.

Recomendaciones

El fabricante, Rockwell Automation, recomienda a los usuarios que actualicen a la versión 1.002.

Referencias

Introducción

Se han descubierto múltiples vulnerabilidades en Mozilla Firefox, Firefox ERS y Thunderbird

Análisis

Mozilla ha emitido un aviso de seguridad donde se tratan 13 vulnerabilidades que afectan al navegador Firefox, Firefox ERS y al cliente de correo electrónico multiplataforma Mozilla Thunderbird. Dentro de estas destacan 4 de severidad alta cuyos identificadores son CVE-2023-37201, CVE-2023-37202, CVE-2023-37211, CVE-2023-37212, que de ser explotadas podrían conducir a condiciones use-after-free y de ejecución arbitraria de código.

• • • CVE-2023-3482: Bloquear todas las cookies de bypass para localstorage
    • CVE-2023-37201: Use-after-free en la generación de certificados WebRTC
    • CVE-2023-37202: Posible uso después de la liberación de la falta de coincidencia de compartimento en SpiderMonkey
    • CVE-2023-37203: La API de arrastrar y soltar puede proporcionar acceso a archivos locales del sistema
    • CVE-2023-37204: Notificación de pantalla completa oscurecida a través del elemento de opción
    • CVE-2023-37205: Suplantación de URL en la barra de direcciones utilizando caracteres RTL
    • CVE-2023-37206: Validación insuficiente de enlaces simbólicos en la API FileSystem
    • CVE-2023-37207: Notificación de pantalla completa oscurecida
    • CVE-2023-37208: Falta de advertencia al abrir archivos Diagcab
    • CVE-2023-37209: Use-after-free en `NotifyOnHistoryReload`.
    • CVE-2023-37210: Prevención de salida del modo de pantalla completa
    • CVE-2023-37211: Fallos de seguridad de memoria corregidos en Firefox 115, Firefox ESR 102.13 y Thunderbird 102.13
    • CVE-2023-37212: Memory safety bugs fixed in Firefox 115

VERSIONES AFECTADAS:

• • • Mozilla Firefox versiones anteriores a 115.
    • Firefox ESR versiones anteriores a 102.13.
    • Firefox Thunderbird versiones anteriores a 102.13.

Recomendaciones

Para la mitigación de estas vulnerabilidades, se recomienda tener siempre los sistemas y aplicaciones actualizadas a la última versión disponible en cuanto se publiquen las actualizaciones correspondientes.

Para solucionar los problemas mencionados, Mozilla recomienda instalar la versión más reciente de Firefox y Thunderbird.

• • • Actualizar Mozilla Firefox a 115.
    • ActualizarFirefox ESR a 102.13.
    • Actualizar Firefox Thunderbird a 102.13.

Referencias

• • • https://www.mozilla.org/en-US/security/advisories/mfsa2023-22/
    • https://nvd.nist.gov/vuln/detail/CVE-2023-3482
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37201
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37202
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37203
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37204
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37205
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37206
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37207
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37208
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37209
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37210
    • https://nvd.nist.gov/vuln/detail/CVE-2023-37211