Categoría: Actualidad

Se ha reportado una vulnerabilidad de severidad alta que afecta al core de Drupal, cuya explotación podría permitir una escalada de privilegios.

Esta vulnerabilidad afecta únicamente a páginas web con el módulo JSON:API habilitado, ya que dicho módulo mostrará trazas de errores que en algunas configuraciones podría hacer que la información sensible se almacene en caché (cache poisoning) y se ponga a disposición de usuarios anónimos, dando lugar a una escalada de privilegios.

Recursos afectados

    Core de Drupal, versiones:

•         desde 8.7.0 hasta anteriores a 9.5.11;
•         desde 10.0 hasta anteriores a 10.0.11;
•         desde 10.1 hasta anteriores a 10.1.4.

    Drupal 7 no está afectado.

Recomendaciones

    Instalar la última versión:

•         Drupal 10.1, actualizar a 10.1.4;
•         Drupal 10.0, actualizar a 10.0.11;
•         Drupal 9.5, actualizar a 9.5.11

    Todas las versiones de Drupal 9 anteriores a la 9.5, junto con Drupal 8, están en fase EoL y no reciben actualizaciones de seguridad.

Referencias

• https://www.drupal.org/project/drupal/releases/10.1.4
• https://www.drupal.org/project/drupal/releases/10.0.11
• https://www.drupal.org/project/drupal/releases/9.5.11
• https://www.drupal.org/sa-core-2023-006
• https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-escalada-de-privilegios-en-el-core-de-drupal

El equipo Red Team del CSIRT-CV ha detectado 7 vulnerabilidades, que afectan a QSige de IDM Sistemas, un sistema inteligente de gestión de esperas.

El Red Team (Equipo de Ataque) del CSIRT-CV participa, desde 2020, en el programa CVE coordinado por el CNA de INCIBE como investigadores de problemas de seguridad.

Gracias a reportar vulnerabilidades, dos compañeros del Red Team del CSIRT-CV, Pablo Arias Rodríguez y Jorge Alberto Palma Reyes han alcanzado el primer puesto del ranking de investigadores con 16 vulnerabilidades reportadas, hasta la fecha.

INCIBE, por su parte, se ha encargado de coordinar la publicación de estas vulnerabilidades, a las cuales se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

• CVE-2023-4097: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-434.
• CVE-2023-4098: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
• CVE-2023-4099: CVSS v3.1: 7,6 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L | CWE-639.
• CVE-2023-4100: CVSS v3.1: 6,5 | CVSS: AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L | CWE-79.
• CVE-2023-4101: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-639.
• CVE-2023-4102: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
• CVE-2023-4103: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.

Cabe resaltar que las vulnerabilidades reportadas están solucionadas en la última versión del producto afectado.

Puedes consultar el listado de referencias en la web del propio producto – QSige y conocer los detalles accediendo a la noticia de INCIBE.

Dos compañeros del equipo Red Team del CSIRT-CV, Pablo Arias Rodríguez y Jorge Alberto Palma Reyes, han detectado cinco vulnerabilidades en Arconte Áurea, un software para la grabación, almacenamiento y gestión de toda la información generada en los tribunales judiciales, desarrollada por Fujitsu.

INCIBE, por su parte, se ha encargado de coordinar la publicación de estas brechas de seguridad, que afectaban a las versiones de este producto inferiores a la 1.5.0.0.

A estas cinco vulnerabilidades, se han asignado los siguientes códigos: puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad.

• CVE-2023-4092: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89
• CVE-2023-4093: CVSS v3.1: 5,5 | CVSS: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L | CWE-79
• CVE-2023-4094: CVSS v3.1: 6,5 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L | CWE-1390.
• CVE-2023-4095: CVSS v3.1: 5,3 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CWE-204.
• CVE-2023-4096: CVSS v3.1: 8,6 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L | CWE-604.

Para conocer los detalles, puedes consultar aquí la publicación de INCIBE.

Por último, cabe resaltar, que estas vulnerabilidades han sido solucionadas por Fujitsu en la versión 1.5.0.0, publicada el 4/4/2022, y que todas las nuevas versiones del producto, incluida la última 1.6.2.3, también incluye las correcciones.

Google ha publicado una actualización para parchear una vulnerabilidad que está siendo explotada actualmente.

Análisis

• • CVE-2023-4863:

Desbordamiento del búfer de montón en WebP que podría dar lugar a la ejecución de código arbitrario o a un bloqueo. Google es consciente de que existe un exploit para esta vulnerabilidad.

Recursos afectados

• • Versiones anteriores a 116.0.5845.187 para Mac y Linux
  • Versiones anteriores a 116.0.5845.187/.188 para Windows

Recomendaciones

• • Actualice a 116.0.5845.187 para Mac y Linux
  • Actualice a 116.0.5845.187/.188 para Windows

Referencias

• • • https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html
    • https://nvd.nist.gov/vuln/detail/CVE-2023-4863