SysAdmin 24x7

Adobe Releases Security Updates for Multiple Products Release DateDecember 12, 2023 https://www.cisa.gov/news-events/alerts/2023/12/12/adobe-releases-security-updates-multiple-products

Microsoft Releases December 2023 Security Updates https://msrc.microsoft.com/update-guide/releaseNote/2023-Dec

VMSA-2023-0027 CVSSv3 Range: 6.3 Issue Date: 2023-12-12 CVE(s): CVE-2023-34064 Synopsis: VMware Workspace ONE Launcher updates addresses privilege escalation vulnerability. (CVE-2023-34064) Impacted Products VMware Workspace ONE Launcher Introduction A privilege escalation vulnerability in VMware Workspace ONE Launch was responsibly reported to VMware. Updates are available to remediate this vulnerability in affected VMware products. https://www.vmware.com/security/advisories/VMSA-2023-0027.html

Múltiples vulnerabilidades en Repox Fecha 12/12/2023 Importancia 5 - Crítica Recursos Afectados Repox, versiones 2.3.7 y anteriores. Descripción INCIBE ha coordinado la publicación de 6 vulnerabilidades que afectan a Repox 2.3.7, un marco para administrar espacios de datos, las cuales han sido descubiertas por David Cámara Galindo y Andrés Elizalde Galdeano, de Telefónica Tech. A estas vulnerabilidades se les han asignado las siguientes puntuaciones base CVSS v3.1. Solución No hay solución reportada por el momento. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-repox

Múltiples vulnerabilidades en productos de Apple Fecha 12/12/2023 Importancia 5 - Crítica Recursos Afectados Versiones anteriores a: Safari 17.2 iOS 17.2 and iPadOS 17.2 iOS 16.7.3 and iPadOS 16.7.3 macOS Sonoma 14.2 macOS Ventura 13.6.3 macOS Monterey 12.7.2 tvOS 17.2 watchOS 10.2 Descripción Apple ha informado sobre varias vulnerabilidades, algunas de tipo 0day, que podrían permitir a un atacante ejecutar código arbitrario. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-apple

Cross-Site Request Forgery en OPEN JOURNAL SYSTEMS Fecha 11/12/2023 Importancia 3 - Media Recursos Afectados OPEN JOURNAL SYSTEMS, versión 3.3.0.13. Descripción INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a OJS (OPEN JOURNAL SYSTEMS), una solución de código abierto para la gestión y publicación de revistas académicas en línea, en su versión 3.3.0.13, la cual ha sido descubierta por David Cámara Galindo, de Telefónica Tech . A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE: CVE-2023-6671: CVSS v3.1: 6.3 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L | CWE-352. Solución No hay solución reportada por el momento. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/cross-site-request-forgery-en-open-journal-systems

Boletín de seguridad de Android: diciembre de 2023 Fecha 11/12/2023 Importancia 5 - Crítica Recursos Afectados Android Open Source Project (AOSP): versiones 11, 12, 12L, 13 y 14. Componentes del sistema, de la estructura, de MediaTek y de Qualcomm. Descripción El boletín de Android, relativo a diciembre de 2023, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, divulgación de información, denegación de servicio o conducir a la ejecución remota de código. Solución En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos. En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/boletin-de-seguridad-de-android-diciembre-de-2023

Apache fixed Critical RCE flaw CVE-2023-50164 in Struts 2 The Apache Software Foundation released security updates to address a critical file upload vulnerability in the Struts 2 open-source framework. Successful exploitation of the flaw, tracked as CVE-2023-50164, could lead to remote code execution. https://securityaffairs.com/155643/hacking/apache-struts-2-critical-flaw.html

US Health Dept urges hospitals to patch critical Citrix Bleed bug The U.S. Department of Health and Human Services (HHS) warned hospitals this week to patch the critical 'Citrix Bleed' Netscaler vulnerability actively exploited in attacks. https://www.bleepingcomputer.com/news/security/us-health-dept-urges-hospitals-to-patch-critical-citrix-bleed-bug/

Múltiples vulnerabilidades en productos Apple Fecha 01/12/2023 Importancia 5 - Crítica Recursos Afectados Dispositivos con versiones anteriores a: iOS e iPadOS 17.1.2; macOS Sonoma 14.1.2; Safari 17.1.2. Descripción Clément Lecigne, investigador de Threat Analysis Group de Google, ha reportado 2 vulnerabilidades 0day en explotación activa para versiones de iOS anteriores a 16.7.1, y que afectan al componente WebKit presente en varios productos de Apple. Solución Actualizar a las versiones: iOS e iPadOS 17.1.2; macOS Sonoma 14.1.2; Safari 17.1.2. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-apple-1

VMSA-2023-0026.1 CVSSv3 Range: 9.8 Issue Date: 2023-11-14 Updated On: 2023-11-30 CVE(s): CVE-2023-34060 Synopsis: VMware Cloud Director Appliance contains an authentication bypass vulnerability (CVE-2023-34060). Impacted Products VMware Cloud Director Appliance (VCD Appliance) Introduction An authentication bypass vulnerability in VMware Cloud Director Appliance was privately reported to VMware. Updates are available to remediate this vulnerability in the affected VMware product. https://www.vmware.com/security/advisories/VMSA-2023-0026.html

Múltiples vulnerabilidades en Voovi Social Networking Script Fecha 30/11/2023 Importancia 5 - Crítica Recursos Afectados Voovi Social Networking Script, versión 1.0. Descripción INCIBE ha coordinado la publicación de 11 vulnerabilidades que afectan a Voovi, un script de código abierto para redes sociales, las cuales han sido descubiertas por Rafael Pedrero. A estas vulnerabilidades se les han asignado las siguientes puntuaciones base CVSS v3.1, vectores del CVSS y tipos de vulnerabilidad CWE: Identificadores CVE desde CVE-2023-6410 a CVE-2023-6418 ambos incluidos: CVSS v3.1: 9.8 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89. Identificadores CVE-2023-6419 y CVE-2023-6420: CVSS v3.1: 6.5 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CWE-79. Solución No hay solución reportada por el momento. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-voovi-social-networking-script

Múltiples vulnerabilidades XSS en productos de BigProf Fecha 30/11/2023 Importancia 3 - Media Recursos Afectados Online Clinic Management System, versión 2.2. Online Invoicing System, versión 2.6. Online Inventory Manager, versión 3.2. Descripción INCIBE ha coordinado la publicación de 14 vulnerabilidades que afectan a varios productos de BigProf, un sistema de gestión de contenidos web de código abierto, las cuales han sido descubiertas por Rafael Pedrero. A estas vulnerabilidades se les ha asignado la siguiente puntuación base CVSS v3.1, vector del CVSS y tipo de vulnerabilidad CWE, común para todas ellas: CVSS v3.1: 6.3 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L | CWE-79 Se han reservado los identificadores CVE desde CVE-2023-6422 hasta CVE-2023-6432, ambos incluidos. Solución No hay solución reportada por el momento. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-xss-en-productos-de-bigprof

[Actualización 30/11/2023] Vulnerabilidad de divulgación de información sensible en productos Netgear Fecha 28/11/2023 Importancia 5 - Crítica Recursos Afectados Prosafe Network Management System, versiones anteriores a 1.7.0.34. Descripción Tenable Network Security ha reportado una vulnerabilidad de severidad crítica que afecta a Prosafe Network Management System de Netgear. Solución NETGEAR recomienda a los usuarios afectados descargar la última versión de NMS300 (1.7.0.34) lo antes posible. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-divulgacion-de-informacion-sensible-en-productos-netgear

Actualizaciones de seguridad de Joomla! 5.0.1 y 4.4.1 Fecha 29/11/2023 Importancia 4 - Alta Recursos Afectados Joomla! CMS, versiones: desde 1.6.0 hasta 4.4.0; 5.0.0. Descripción El JSST (Joomla! Security Strike Team) ha informado de una vulnerabilidad que afecta al core de Joomla! CMS, cuya explotación podría permitir la divulgación de información. Solución Instalar o actualizar a las versiones 3.10.14-elts, 4.4.1 o 5.0.1. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/actualizaciones-de-seguridad-de-joomla-501-y-441

Vulnerabilidad de request smuggling en Apache Tomcat Fecha 29/11/2023 Importancia 4 - Alta Recursos Afectados Apache Tomcat, versiones: desde 11.0.0-M1 hasta 11.0.0-M10; desde 10.1.0-M1 hasta 10.1.15; desde 9.0.0-M1 hasta 9.0.82; desde 8.5.0 hasta 8.5.95. Descripción Norihito Aimoto, investigador de OSSTech Corporation, ha reportado una vulnerabilidad de tipo contrabando de solicitudes ( request smuggling) HTTP que afecta a varias versiones de Apache Tomcat. Solución Actualizar a las siguientes versiones (o posteriores): 11.0.0-M11; 10.1.16; 9.0.83; 8.5.96. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-request-smuggling-en-apache-tomcat

Vulnerabilidad de divulgación de información sensible en productos Netgear Fecha 28/11/2023 Importancia 5 - Crítica Recursos Afectados Prosafe Network Management System, versiones anteriores a 1.7.0.34. Descripción Tenable Network Security ha reportado una vulnerabilidad de severidad crítica que afecta a Prosafe Network Management System de Netgear. Solución NETGEAR recomienda a los usuarios afectados descargar la última versión de NMS300 (1.7.0.34) lo antes posible. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/vulnerabilidad-de-divulgacion-de-informacion-sensible-en-productos-netgear

Múltiples vulnerabilidades en NonStop OSS Network Utilities de HPE Fecha 28/11/2023 Importancia 5 - Crítica Recursos Afectados Para la vulnerabilidad CVE-2023-38546: T1204L01^AAE, T1204L01^AAF y T1204L01^AAH. Para la vulnerabilidad CVE-2023-38545: T1204L01-T1204L01^AAB, T1204L01^AAD-T1204L01^AAF y T1204L01^AAH. Descripción HPE ha publicado dos vulnerabilidades de severidad crítica y baja. Estas vulnerabilidades podrían provocar de forma remota la omisión de restricciones de seguridad, vulnerabilidades indirectas y desbordamiento de búfer. Solución HPE ha lanzado actualizaciones de la versión de lanzamiento (RVU) que contienen los SPR afectados: L17.08 - L19.08L20.05 – 21.06L21.11.00 - L21.11.02L22.09.00 L22.09.01L23.08 https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-nonstop-oss-network-utilities-de-hpe

Múltiples vulnerabilidades en Arcserve UDP Fecha 28/11/2023 Importancia 5 - Crítica Recursos Afectados Arcserve UDP (Unified Data Protection), versiones anteriores a 9.2. Descripción El equipo de Tenable ha notificado al fabricante Arcserve 3 vulnerabilidades críticas que afectan a su producto UDP, cuya explotación podría permitir a un atacante remoto ejecutar código, omitir el proceso de autenticación o acceder a directorios restringidos. Solución Actualizar Arcserve UDP a la versión 9.2 o posteriores. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-arcserve-udp

Disclosure of sensitive credentials and configuration in containerized deployments Nov 21, 2023 Risk: critical CVSS v3 Base Score: 10 Affected graphapi 0.2.0 – 0.3.0 https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/