SysAdmin 24x7

VMSA-2025-0005: VMware Tools for Windows update addresses an authentication bypass vulnerability (CVE-2025-22230) Advisory ID: VMSA-2025-0005 Advisory Severity: Important CVSSv3 Range: 7.8 Synopsis: VMware Tools for Windows update addresses an authentication bypass vulnerability (CVE-2025-22230) Issue date: 2025-03-25 CVE(s) CVE-2025-22230 Impacted Products VMware Tools Introduction An authentication bypass vulnerability in VMware Tools for Windows was privately reported to VMware. Updates are available to remediate this vulnerability in the affected VMware products. https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25518

Ejecución remota de código en Ingress NGINX de Kubernetes Fecha 25/03/2025 Importancia 5 - Crítica Recursos Afectados Controlador Ingress NGINX versiones: anteriores a 1.11.0; desde 1.11.0 hasta 1.11.4; 1.12.0. Nota: Amazon Elastic Kubernetes Service (Amazon EKS) no proporciona ni instala el controlador Ingress NGINX por lo que no se ve afectado por estos problemas. Descripción El equipo de investigación de Wiz ha descubierto 4 vulnerabilidades: una se severidad crítica y 3 altas en el controlador Ingress NGINX, un proyecto para Kubernetes, las cuales podrían permitir ejecución remota de código sin necesidad de autenticación y acceso a los información confidencial en todos los espacios de nombres del clúster. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-remota-de-codigo-en-ingress-nginx-de-kubenetes

Explotación remota de código en Apache Tomcat Fecha 20/03/2025 Importancia 5 - Crítica Recursos Afectados Apache Tomcat 11.0.0-M1 hasta 11.0.2; Apache Tomcat 10.1.0-M1 hasta 10.1.34; Apache Tomcat 9.0.0.M1 hasta 9.0.98. Descripción COSCO Shipping Lines DIC y sw0rd1ight han reportado una vulnerabilidad de severidad crítica que afecta a Apache Tomcat, y cuya explotación podría permitir una posible ejecución remota de código y divulgación de información. Una prueba de concepto está disponible en github.com. Si bien es cierto que se ha reportado que se está explotando activamente, a día de hoy no ha sido posible confirmar explotaciones con éxito en entornos de producción del mundo real. Solución Apache recomienda actualizar a las siguientes versiones: Apache Tomcat 11: versión 11.0.3; Apache Tomcat 10: versión 10.1.35; Apache Tomcat 9: versión 9.0.99. Además de esto, Apache recomienda tomar las siguientes medidas de mitigación: Deshabilitar los permisos de escritura para el servlet por defecto. Deshabilitar el soporte de PUT parciales. Revisar y restringir las configuraciones de carga de archivos. Implementar controles de acceso estrictos para directorios sensibles. Utilizar los principios de mínimo privilegio para la configuración de Tomcat. Apache indica que si no se ha modificado la configuración por defecto del DefaultServlet de solo lectura de "true" a "false", no hay riesgo de explotacion. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/explotacion-remota-de-codigo-en-apache-tomcat

CVE-2025-23120 KB ID: 4724 Product: Veeam Backup & Replication | 12 | 12.1 | 12.2 | 12.3 Published: 2025-03-19 A vulnerability allowing remote code execution (RCE) by authenticated domain users. Severity: Critical CVSS v3.1 Score: 9.9 https://www.veeam.com/kb4724

Critical RCE flaw in Apache Tomcat actively exploited in attacks A critical remote code execution (RCE) vulnerability in Apache Tomcat tracked as CVE-2025-24813 is actively exploited in the wild, enabling attackers to take over servers with a simple PUT request. https://www.bleepingcomputer.com/news/security/critical-rce-flaw-in-apache-tomcat-actively-exploited-in-attacks/

March 2025 Security Updates https://msrc.microsoft.com/update-guide/releaseNote/2025-Mar

Múltiples vulnerabilidades en plugins de Moodle de Innovación y Cualificación Fecha 11/03/2025 Importancia 5 - Crítica Recursos Afectados Los siguientes plugins de Moodle están afectados: plugin IcProgreso; plugin local administración ajax.php. Descripción INCIBE ha coordinado la publicación de 4 vulnerabilidades: 2 de severidad crítica y 2 de severidad media, que afectan a los plugins de Moodle administración e IcProgreso de Innovación y Cualificación. Las vulnerabilidades han sido descubiertas por Julen Garrido Estevez. A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad: CVE-2025-2199 y CVE-2025-2200: CVSS v4.0: 9.3 | CVSS /AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-89 CVE-2025-2201 y CVE-2025-2202: CVSS v4.0: 7.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-863 Solución Innovación y Cualificación ha lanzado una nueva versión que corrige las vulnerabilidades detectadas en los plugins afectados. Se ha procedido a la implantación de la misma en todas las instalaciones del software afectado, completándose el proceso en diciembre del 2024. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-plugins-de-moodle-de-innovacion-y-cualificacion

Actualización de seguridad de SAP de marzo de 2025 Fecha 11/03/2025 Importancia 4 - Alta Descripción SAP ha publicado su boletín mensual en el que se incluyen 21 vulnerabilidades: 3 de severidad alta, 14 medias y 4 bajas. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante, no autenticado, inyectar código malicioso desde fuentes remotas u obtener niveles de acceso más altos de los que debería https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizacion-de-seguridad-de-sap-de-marzo-de-2025

Aviso de seguridad de Zyxel acerca de vulnerabilidades encontradas en sus dispositivos WiFi, fibra ONT y DSL/Ethernet CPE Fecha 11/03/2025 Importancia 4 - Alta Recursos Afectados DSL/ETHERNET CPE: Modelos desde la serie DX3300-T0 hasta la serie DX4510-B1; Modelo DM4200-B0; Modelo EE6510-10; Modelos desde la serie EX3300-T0 hasta la serie EX7710-B0; Modelos desde la serie EMG3525-T50B hasta la serie EMG5723-T50K; Modelos desde la serie VMG3625-T50B hasta la serie VMG8825-T50K. Fibra ONT: AX7501-B0, AX7501-B1: V5.17(ABPC5.3)C0 y versiones anteriores; PX3321-T1: V5.44(ACJB.1.1)C0, V5.44(ACHK.0.3)C0 y versiones anteriores; PX5301-T0: V5.44(ACKB.0.1)C0 y versiones anteriores. Wi-Fi extender: WX3100-T0: V5.50(ABVL.4.5)C0 y versiones anteriores; WX3401-B0, WX3401-B1: V5.17(ABVE.2.6)C0 y versiones anteriores; WX5600-T0: V5.70(ACEB.3.3)C0 y versiones anteriores; Wx5610-B0: V5.18(ACGJ.0.1)C0 y versiones anteriores. Para comprobar si tu modelo es uno de los afectados puedes consultar el aviso oficial enlazado en referencias. Descripción Zyxel informa que se han detectado 3 vulnerabilidades de severidad alta en varios de sus productos WiFi, fibra ONT y DSL/Ethernet CPE y recomienda a sus usuarios que instalen la opción óptima recomendada. https://www.incibe.es/empresas/avisos/aviso-de-seguridad-zyxel-acerca-de-vulnerabilidades-encontradas-en-sus-dispositivos

VMSA-2025-0004: VMware ESXi, Workstation, and Fusion updates address multiple vulnerabilities (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226) Advisory ID: VMSA-2025-0004 Severity: Critical CVSSv3 Range: 7.1-9.3 Synopsis: VMware ESXi, Workstation, and Fusion updates address multiple vulnerabilities (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226) Issue date: 2025-03-04 CVE(s): CVE-2025-22224, CVE-2025-22225, CVE-2025-22226 Impacted Products VMware ESXi VMware Workstation Pro / Player (Workstation) VMware Fusion VMware Cloud Foundation VMware Telco Cloud Platform Introduction Multiple vulnerabilities in VMware ESXi, Workstation, and Fusion were privately reported to VMware. Updates are available to remediate these vulnerabilities in affected VMware products. https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390

SysAdmin 24x7 Noticias y alertas de seguridad informática. Enlace de invitación: https://t.me/sysadmin24x7 Acceso web: https://t.me/s/sysadmin24x7

Microsoft fixes Outlook drag-and-drop broken by Windows updates Microsoft has fixed a known issue that broke email and calendar drag-and-drop in classic Outlook after installing recent updates on Windows 24H2 systems. https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-outlook-drag-and-drop-broken-by-windows-updates/

Denegación de servicio en Nexus Switches de Cisco Fecha 27/02/2025 Importancia 4 - Alta Recursos Afectados La vulnerabilidad afecta a los siguientes productos de Cisco si ejecutan una versión vulnerable del software Cisco NX-OS, independientemente de la configuración del dispositivo: Nexus 3100 Series Switches; Nexus 3200 Series Switches; Nexus 3400 Series Switches; Nexus 3600 Series Switches; Nexus 9200 Series Switches en modo NX-OS independiente; Nexus 9300 Series Switches en modo NX-OS independiente; Nexus 9400 Series Switches en modo NX-OS independiente. Para obtener información sobre qué versiones de software de Cisco son vulnerables, se recomienda consultar la sección Fixed Software del aviso del fabricante en las referencias. Descripción Cisco ha publicado una vulnerabilidad de severidad alta en Nexus 3000 y 9000 Series Switches que podría permitir a un atacante reiniciar el dispositivo inesperadamente, lo que daría lugar a una condición de denegación de servicio (DoS). Solución Cisco ha publicado actualizaciones para estos productos, que corrigen este problema. Si existe algún problema al instalar las actualizaciones, se puede consultar el apartado de Workarounds del aviso oficial enlazado en referencias. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/denegacion-de-servicio-en-nexus-switches-de-cisco

Múltiples vulnerabilidades en OpenCart Fecha 27/02/2025 Importancia 3 - Media Recursos Afectados OpenCart, versiones anteriores a 4.1.0. Descripción INCIBE ha coordinado la publicación de 4 vulnerabilidades de severidad media, que afectan a OpenCart, una plataforma de eCommerce de código abierto, las cuales han sido descubiertas por Gonzalo Aguilar García (6h4ack). A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad: CVE-2025-1746: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79 CVE-2025-1747 a CVE-2025-1749: CVSS v3.1: 4.7 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N | CWE-79 Solución La vulnerabilidad ha sido solucionada por el equipo de OpenCart en la versión 4.1.0. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-opencart

Múltiples vulnerabilidades en NonStop CLIM de HPE Fecha 26/02/2025 Importancia 5 - Crítica Recursos Afectados NonStop CLIM. Para ver las versiones afectadas se recomienda visitar el aviso oficial enlazado en referencias. Descripción HPE ha publicado varias vulnerabilidades de entre ellas una crítica que afecta a OpenSSH en sus productos y podría permitir ejecución remota de código. Solución Aplicar las actualizaciones indicadas por el fabricante. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-nonstop-clim-de-hpe

Múltiples vulnerabilidades en Mattermost server Fecha 25/02/2025 Importancia 5 - Crítica Recursos Afectados Las siguientes versiones de Mattermost que tengan tableros ( boards) habilitado: desde la versión 10.4.x hasta la 10.4.1, incluida; desde la versión 9.11.x hasta la 9.11.7, incluida; desde la versión 10.3.x hasta la 10.3.2, incluida; desde la versión 10.2.x hasta la 10.2.2, incluida. Descripción Mattermost ha publicado información de 2 vulnerabilidades críticas que podrían permitir a usuarios y atacantes leer archivos arbitrarios del sistema. Solución Actualizar a la última versión disponible. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-mattermost-server

Ejecución de código remoto en MITRE Caldera Fecha 25/02/2025 Importancia 5 - Crítica Recursos Afectados MITRE Caldera: Todas las versiones hasta la 4.2.0 y 5.0.0 inclusive. Las versiones de desarrollo (rama master) anteriores al commit 35bc06e. Descripción Dawid Kulikowski ha identificado una vulnerabilidad de severidad crítica que podría permitir a un atacarte una ejecución remota de código. Solución Se recomienda actualizar a la versión más actual. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-de-codigo-remoto-en-mitre-caldera

Ejecución remota de código en Apache Ignite Fecha 17/02/2025 Importancia 5 - Crítica Recursos Afectados Apache Ignite: versiones comprendidas entre la 2.6.0 y anteriores a la 2.17.0. Descripción Apache ha reportado una vulnerabilidad de severidad crítica cuya explotación podría permitir a un atacante llevar a cabo una ejecución remota de código en el lado del servidor. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/ejecucion-remota-de-codigo-en-apache-ignite

Múltiples vulnerabilidades en Moodle Fecha 18/02/2025 Importancia 5 - Crítica Recursos Afectados Versiones anteriores no compatibles y, además: Versiones 4.5 a 4.5.1, Versiones 4.4 a 4.4.5, Versiones 4.3 a 4.3.9, Versiones 4.1 a 4.1.15. Descripción Moodle ha publicado correcciones para 10 vulnerabilidades, 4 de ellas críticas. Su explotación podría permitir inyección SQL; Cross-Site Spriting reflejado y almacenado; y lectura arbitraria de archivos, entre otros. Dichas vulnerabilidades fueron reportadas por los investigadores: Lars Bonczek, Hect0r, nightbloodz y vicevirus. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-moodle-6

Neutralización inadecuada de elementos especiales en PostgreSQL Fecha 18/02/2025 Importancia 4 - Alta Recursos Afectados Las siguientes versiones de PostgreSQL están afectadas: 13; 14; 15; 16; 17. Descripción Stephen Fewer ha reportado a PostgreSQL una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante llevar a cabo una inyección SQL en ciertos patrones de uso. Se han identificado varias pruebas de concepto (IoC) y la vulnerabilidad podría estar siendo explotada. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/neutralizacion-inadecuada-de-elementos-especiales-en-postgresql