Category: Actualitat

L’equip Red Team del CSIRT-CV ha detectat 7 vulnerabilitats, que afecten a QSige de IDM Sistemes, un sistema intel·ligent de gestió d’esperes.

L’ Equip d’Atac (Red Team) del CSIRT-CV participa, des de 2020, en el programa CVE coordinat pel CNA d’INCIBE com a investigadors de problemes de seguretat.

Gràcies a reportar vulnerabilitats, dos companys de l’Equip d’Atac del CSIRT-CV, Pablo Arias Rodríguez i Jorge Alberto Palma Reyes han aconseguit el primer lloc del rànquing d’investigadors amb 16 vulnerabilitats reportades fins ara.

INCIBE, per la seua part, s’ha encarregat de coordinar la publicació d’aquestes vulnerabilitats, a les quals se’ls han assignat els següents codis, puntuació base CVSS v3.1, vector del CVSS i el tipus de vulnerabilitat CWE de cada vulnerabilitat:

• CVE-2023-4097: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-434.
• CVE-2023-4098: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
• CVE-2023-4099: CVSS v3.1: 7,6 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L | CWE-639.
• CVE-2023-4100: CVSS v3.1: 6,5 | CVSS: AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L | CWE-79.
• CVE-2023-4101: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-639.
• CVE-2023-4102: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
• CVE-2023-4103: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.

Cal ressaltar que les vulnerabilitats reportades estan solucionades en l’última versió del producte afectat.

Pots consultar el llistat de referències en la web del propi producte – QSige i conéixer els detalls accedint a la notícia de INCIBE.

Dos companys de l’equip Red Team del CSIRT-CV, Pablo Arias Rodríguez i Jorge Alberto Palma Reyes, han detectat cinc vulnerabilitats en Arcont Àuria, un programari per a l’enregistrament, emmagatzematge i gestió de tota la informació generada en els tribunals judicials, desenvolupada per Fujitsu.

INCIBE, per la seua part, s’ha encarregat de coordinar la publicació d’aquestes bretxes de seguretat, que afectaven les versions d’aquest producte inferiors a la 1.5.0.0.

A aquestes cinc vulnerabilitats, s’han assignat els següents codis: puntuació base

• CVE-2023-4092: CVSS v3.1: 8,8 | CVSS: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-89.
• CVE-2023-4093: CVSS v3.1: 5,5 | CVSS: AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L | CWE-79.
• CVE-2023-4094: CVSS v3.1: 6,5 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L | CWE-1390.
• CVE-2023-4095: CVSS v3.1: 5,3 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CWE-204.
• CVE-2023-4096: CVSS v3.1: 8,6 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L | CWE-604.

Per a conéixer els detalls, pots consultar ací la publicació de INCIBE.

Finalment, cal ressaltar, que aquestes vulnerabilitats han sigut solucionades per Fujitsu en la versió 1.5.0.0, publicada el 4/4/2022, i que totes les noves versions del producte, inclosa l’última 1.6.2.3, també inclou les correccions.

Google ha publicat una actualització per a posar pegats en una vulnerabilitat que està sent explotada actualment.

Anàlisi

• • CVE-2023-4863:

Desbordament de memòria de muntó en WebP que podria donar lloc a l’execució de codi arbitrari o a un bloqueig. Google és conscient que existeix un explotador per a aquesta vulnerabilitat.

Recursos afectats

• • Versions anteriors a 116.0.5845.187 per a Mac i Linux
  • Versions anteriors a 116.0.5845.187/.188 per a Windows

Recomanacions

• • Actualitze a 116.0.5845.187 per a Mac i Linux
  • Actualitze a 116.0.5845.187/.188 per a Windows

Referències

• • • https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html
    • https://nvd.nist.gov/vuln/detail/CVE-2023-4863