Categoría: Actualidad

Introducción

Se han publicado 4 nuevas vulnerabilidades que afectan a varias versiones de Moodle, dos de ellas críticas [1]. Las versiones de Moodle afectadas son las siguientes:

• • • De la 3.11 a la 3.11.4.
    • De la 3.10 a la 3.10.8.
    • De la 3.9 a la 3.9.11.
    • versiones anteriores sin soporte.

 

Análisis

Las nuevas vulnerabilidades identificadas son las siguientes:

CVE-2022-0332 [2]:  Se ha identificado un riesgo de inyección SQL en el servicio web h5p activity, responsable de obtener los datos de los intentos de los usuarios. Está vulnerabilidad se ha catalogado como crítica.

CVE-2022-0335 [3]: La capacidad calendar:manageentries permitía a los administradores acceder o modificar cualquier evento del calendario, pero debería haberse restringido el acceso a los eventos de nivel de usuario. Está vulnerabilidad se ha catalogado como crítica.

CVE-2022-0333 [4]: Comprobaciones insuficientes de permisos podría causar que los usuarios accedieran a su informe de calificaciones para cursos en los que no tienen los permisos requeridos de gradereport/user:view. Está vulnerabilidad se ha catalogado como media.

CVE-2022-0334 [5]: La funcionalidad de «delete badge alignment» no incluía la comprobación de tokens necesaria para evitar un riesgo de Cross-site request forgery (CSRF). Esta vulnerabilidad se ha catalogado como media.

 

Recomendaciones

Se recomienda actualizar Moodle a las versiones 3.11.5, 3.10.9 o 3.9.12. [6] [7]

 

Referencias
[1] https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-moodle-18
[2] https://moodle.org/mod/forum/discuss.php?d=431099
[3] https://moodle.org/mod/forum/discuss.php?d=431100
[4] https://moodle.org/mod/forum/discuss.php?d=431102
[5] https://moodle.org/mod/forum/discuss.php?d=431103
[6] https://download.moodle.org/
[7] https://download.moodle.org/releases/security/

Introducción
Se han publicado nuevos parches para varias versiones de Drupal que solucionan varias vulnerabilidades relacionadas con la librería jQuery UI [1] [2].

 

Análisis
Las nuevas vulnerabilidades identificadas son las siguientes:

CVE-2021-41184 [3]: en versiones de jQuery UI anteriores a la 1.13.0, aceptar el valor de la opción ‘of’ de la utilidad ‘.position()’ de fuentes no confiables puede ejecutar código no confiable. El problema se ha solucionado en jQuery UI 1.13.0. Cualquier valor de cadena pasado a la opción ‘of’ se trata ahora como un selector CSS. Una solución es no aceptar el valor de la opción ‘of’ de fuentes no confiables.

CVE-2021-41183 [4]: en versiones de jQuery UI anteriores a la 1.13.0, aceptar el valor de varias opciones ‘*Text’ del widget Datepicker desde fuentes no fiables podía ejecutar código no fiable. El problema se ha solucionado en jQuery UI 1.13.0. Los valores pasados a varias opciones ‘*Text’ son ahora tratados siempre como texto puro, no como HTML. Una solución es no aceptar el valor de las opciones ‘*Text’ de fuentes no confiables.

CVE-2021-41182 [5]: aceptar el valor de la opción ‘altField’ del widget Datepicker desde fuentes no confiables puede ejecutar código no confiable. El problema se ha solucionado en jQuery UI 1.13.0. Cualquier valor de cadena pasado a la opción ‘altField’ se trata ahora como un selector CSS. Una solución es no aceptar el valor de la opción ‘altField’ de fuentes no confiables.

CVE-2016-7103 [6]: una vulnerabilidad Cross-site scripting (XSS) en versiones de jQuery UI anteriores a la 1.12.0 podría permitir a los atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro closeText de la función de diálogo.

CVE-2010-5312 [7]: una vulnerabilidad Cross-site scripting (XSS) en versiones de jQuery UI anteriores a la 1.11.0 podría permitir a los atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través del parámetro closeText de la función de diálogo.

 

Recomendaciones
Se han publicado parches para varias versiones que solucionan estas vulnerabilidades:

• • • Si utilizas Drupal 9.3, actualiza a Drupal 9.3.3. [8]
    • Si utilizas Drupal 9.2, actualiza a Drupal 9.2.11. [9]
    • Si utilizas Drupal 7, actualiza a Drupal 7.86. [10]

 

Referencias
[1] https://www.drupal.org/sa-core-2022-001
[2] https://www.drupal.org/sa-core-2022-002
[3] https://nvd.nist.gov/vuln/detail/CVE-2021-41184
[4] https://nvd.nist.gov/vuln/detail/CVE-2021-41183
[5] https://nvd.nist.gov/vuln/detail/CVE-2021-41182
[6] https://nvd.nist.gov/vuln/detail/CVE-2016-7103
[7] https://nvd.nist.gov/vuln/detail/CVE-2010-5312
[8] https://www.drupal.org/project/drupal/releases/9.3.3
[9] https://www.drupal.org/project/drupal/releases/9.2.11
[10] https://www.drupal.org/project/drupal/releases/7.86

Introducción

Se han identificado tres nuevas vulnerabilidades en la versión Log4j 1.x. El soporte y mantenimiento oficial ya no se realiza para esta versión [1].

  

Análisis

Las nuevas vulnerabilidades identificadas son las siguientes:

CVE-2022-23302 [2]: JMSSink en todas las versiones de Log4j 1.x es vulnerable a la deserialización de datos no confiables cuando el atacante tiene acceso de escritura a la configuración de Log4j o si la configuración hace referencia a un servicio LDAP al que el atacante tiene acceso. El atacante puede proporcionar una configuración TopicConnectionFactoryBindingName haciendo que JMSSink realice peticiones JNDI que resulten en la ejecución remota de código de forma similar a CVE-2021-4104. Tenga en cuenta que este problema sólo afecta a Log4j 1.x cuando se configura específicamente para utilizar JMSSink, que no es el predeterminado.

CVE-2022-23305 [3]: Por diseño, el JDBCAppender en Log4j 1.2.x acepta una sentencia SQL como parámetro de configuración donde los valores a insertar son convertidores de PatternLayout. Es probable que el convertidor de mensajes, %m, se incluya siempre. Esto permite a los atacantes manipular el SQL introduciendo cadenas manipuladas en los campos de entrada o en las cabeceras de una aplicación que se registran permitiendo la ejecución de consultas SQL no deseadas. Tenga en cuenta que este problema sólo afecta a Log4j 1.x cuando se configura específicamente para utilizar el JDBCAppender, que no es el predeterminado. A partir de la versión 2.0-beta8, el JDBCAppender fue reintroducido con soporte adecuado para consultas SQL parametrizadas y mayor personalización sobre las columnas escritas en los registros.

CVE-2022-23307 [4], CVE-2020-9493 [5]: identificó un problema de deserialización que estaba presente en Apache Chainsaw. Antes de Chainsaw V2.0, Chainsaw era un componente de Apache Log4j 1.2.x donde existe el mismo problema.

  

Recomendaciones

Apache Log4j 1.x llegó al final de su vida útil en agosto de 2015. Los usuarios deberían actualizar a Log4j 2, ya que soluciona numerosos problemas de las versiones anteriores.

 Referencias

[1] Apache log4j 1.2 –
[2] NVD – CVE-2022-23302 (nist.gov)
[3] NVD – CVE-2022-23305 (nist.gov)
[4] NVD – CVE-2022-23307 (nist.gov)
[5] NVD – CVE-2020-9493 (nist.gov)

Introducción

El pasado lunes 17 de enero, Zoho emitió un parche para una vulnerabilidad que afectaba a ManageEngine Desktop Central y Desktop Central MSP. [1]

 

Análisis

La vulnerabilidad permitía a un atacante sin autenticar, realizar acciones no autorizadas en el servidor. De esta forma, el atacante podría leer datos no permitidos o crear archivos zip de manera arbitraria en el servidor. [2]

Productos afectados:

• • • ManageEngine Desktop Central versiones anteriores a la 10.1.2137.9
    • ManageEngine Desktop Central MSP versiones anteriores a la 10.1.2137.9

Esta vulnerabilidad tiene una puntuación CVSSv3 de 7.8, por lo que se considera de alta prioridad.
No existe prueba de concepto que explote esta vulnerabilidad.

 

Recomendaciones

Zoho ya ha resuelto esta vulnerabilidad en su parche 10.1.2137.9. Para solucionarla, se debe iniciar sesión en la consola de Desktop Central [4] e instalar el archivo PPM para actualizar.

Referencias

[1] https://thehackernews.com/2022/01/zoho-releases-patch-for-critical-flaw.html
[2] https://securityaffairs.co/wordpress/126828/security/zoho-desktop-central-cve-2021-44757-flaw.html
[3] https://www.manageengine.com/products/desktop-central/cve-2021-44757.html
[4]https://accounts.zoho.com/signin?serviceurl=https://me.zoho.com/portal/mestore/redirectManageEngine.do&hide_signup=true&servicename=ManageEngine&css=https://www.zoho.com/css/me-login-spack.css