Vulnerabilidad alta de PAN-OS explotada activamente en la red
Palo Alto Networks ha emitido un aviso de seguridad sobre una vulnerabilidad alta en la funcionalidad de DNS Security de su software PAN-OS. La explotación de esta vulnerabilidad, podría permitir a atacantes no autenticados interrumpir las operaciones del firewall. Producto AfectadoVersión AfectadaSoluciónPAN-OSDesde 11.2.0 hasta anteriores a 11.2.3.Actualizar a la versión 11.2.3 o posterior.Desde 11.1.0 hasta anteriores a 11.1.2-h16.Actualizar a la versión 11.1.2-h16 o posterior.Desde 10.2.8 hasta anteriores a 10.2.8-h19.Actualizar a la versión 10.2.8-h19 o posterior.Desde 10.1.14 hasta anteriores a 10.1.14-h8.Actualizar a la versión 10.1.14-h8 o posterior.Prisma Access en PAN-OSDesde la 10.2.8 en adelante.Actualizar a la versión 10.2.9-h19 o posterior.Desde 11.2.0…
Actualizaciones Críticas en Apache Tomcat: Mitigación de Vulnerabilidades de RCE y DoS
Apache Software Foundation ha publicado actualizaciones de seguridad críticas para abordar dos vulnerabilidades importantes que afectan a Apache Tomcat, un contenedor de servlets ampliamente utilizado para aplicaciones basadas en Java. Estas vulnerabilidades, relacionadas con la ejecución remota de código (RCE) y la denegación de servicio (DoS), pueden comprometer la seguridad y disponibilidad de los sistemas afectados. CVE Productos afectados Versiones afectadas Solución CVE-2024-50379 Apache Tomcat. Versión 11.0.0-M1 hasta la 11.0.1. Versión 10.1.0-M1 hasta la 10.1.33. Versión 9.0.0-M1 hasta la 9.0.97. Actualizar a 11.0.2 o versiones posteriores.Actualizar a 10.1.34 o versiones posteriores.Actualizar a 9.0.98 o versiones posteriores CVE-2024-54677 Recomendaciones: Referencias:
Vulnerabilidades Críticas en Plugins de WordPress: WP Travel Engine y WooCommerce POS
WordPress, una de las plataformas de gestión de contenidos más populares, ha registrado recientemente vulnerabilidades críticas en algunos de sus complementos más utilizados. Estas fallas pueden comprometer la seguridad de los sitios web, permitiendo a atacantes tomar control de cuentas críticas o ejecutar código malicioso. A continuación, presentamos un resumen de las vulnerabilidades identificadas: Producto afectado Versión afectada Solución WooCommerce Point of Sale Versiones anteriores a la 6.1.0. Actualizar a la versión 6.2.0 o posterior. WP Travel Engine – Elementor Widgets Versiones anteriores a la 1.3.7. Actualizar a la versión 1.3.8 o posterior. Recomendaciones: Referencias: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wte-elementor-widgets/wp-travel-engine-elementor-widgets-create-travel-booking-website-using-wordpress-and-elementor-137-authenticated-contributor-local-file-inclusion https://www.cvefind.com/en/cve/CVE-2024-12272.html https://www.cve.org/CVERecord?id=CVE-2024-12272 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-11281 https://www.cvefind.com/en/cve/CVE-2024-11281.html https://www.cve.org/CVERecord?id=CVE-2024-11281
Vulnerabilidad crítica en el tema AdForest para WordPress
El tema AdForest para WordPress, utilizado principalmente para la creación de sitios de clasificados, presenta una vulnerabilidad crítica identificada como CVE-2024-11349. Esta vulnerabilidad permite una omisión de autenticación, lo que podría ser explotado por atacantes no autenticados para obtener acceso a cuentas privilegiadas dentro del sitio afectado. Si se explota con éxito, un atacante podría tomar control total del sitio, incluyendo la capacidad de modificar contenido, acceder a datos confidenciales y ejecutar acciones maliciosas. Productos y versiones afectadas: Solución: Recomendaciones: Referencias: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/adforest/adforest-516-authentication-bypass https://www.cvefind.com/en/cve/CVE-2024-11349.html https://www.cve.org/CVERecord?id=CVE-2024-11349
Nueva vulnerabilidad en el plugin eCommerce Product Catalog para WordPress
El plugin eCommerce Product Catalog para WordPress, ampliamente utilizado para la gestión y presentación de catálogos de productos en sitios web, presenta una vulnerabilidad identificada como CVE-2024-12771, la cual permite la explotación de un Cross-Site Request Forgery (CSRF) que puede desencadenar un restablecimiento de contraseña no autorizado del administrador. Si se explota con éxito, un atacante podría secuestrar la cuenta del administrador y tomar control total del sitio web afectado. Productos y versiones afectadas: Solución: Recomendaciones: Referencias: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ecommerce-product-catalog/ecommerce-product-catalog-plugin-for-wordpress-3343-cross-site-request-forgery-to-password-reset https://www.cvefind.com/en/cve/CVE-2024-12771.html https://www.cve.org/CVERecord?id=CVE-2024-12771
Vulnerabilidad crítica en el plugin WooCommerce PDF Vouchers para WordPress
Se ha detectado una vulnerabilidad crítica en el plugin WooCommerce PDF Vouchers para WordPress, ampliamente utilizado en sitios de comercio electrónico para generar y gestionar cupones y vales en formato PDF. Esta vulnerabilidad podría permitir una escalada de privilegios, comprometiendo el control del sitio web afectado. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:
Vulnerabilidad en plugin de Store Locator de WordPress
El plugin Store Locator para WordPress con Google Maps, conocido como LotsOfLocales, presenta una vulnerabilidad crítica que podría ser explotada por atacantes no autenticados. Esta vulnerabilidad destaca por su gravedad y el impacto que podría tener en los sistemas afectados. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:
Vulnerabilidad de inyección de comandos en FortiManager
Fortinet ha informado sobre una vulnerabilidad alta de seguridad en varias versiones de su producto FortiManager y FortiManager Cloud, ampliamente utilizado para la administración centralizada de dispositivos de red y seguridad. Este problema podría permitir a atacantes autenticados ejecutar comandos no autorizados. Producto Afectado Versión Afectada Solución FortiManager Versión 7.6. Actualizar a la versión 7.6.1 o posterior. Desde la 7.4.0 hasta 7.4.4. Actualizar a la versión 7.4.5 o posterior. FortiManager Cloud Desde la 7.4.1 hasta la 7.4.4. FortiManager Desde la 7.2.3 hasta la 7.2.7. Actualizar a la versión 7.2.8 o posterior. FortiManager Cloud Desde la 7.2.1 hasta la 7.2.7. FortiManager…
Vulnerabilidades Críticas detectadas en Sophos Firewall
Sophos ha abordado múltiples vulnerabilidades críticas en su producto Sophos Firewall. Estas fallas, reportadas tanto internamente como por investigadores externos, podrían permitir el acceso no autorizado, ejecución de código remoto y otros impactos graves en dispositivos afectados. CVE Versión Afectada Solución CVE-2024-12727 Desde 0 hasta antes de 21.0 MR1 (21.0.1). Actualizar a la versión 21.0 MR1 (21.0.1) o posterior. CVE-2024-12728 Desde 0 hasta antes de 20.0 MR3 (20.0.3). Actualizar a la versión 20.0 MR3 (20.0.3) o posterior. CVE-2024-12729 Desde 0 hasta antes de 21.0 MR1 (21.0.1). Actualizar a la versión 21.0 MR1 (21.0.1) o posterior. Recomendaciones: Referencias:
Google Chrome soluciona vulnerabilidades en su última actualización
Google ha lanzado una actualización crucial para su navegador Chrome, solucionando cinco vulnerabilidades de seguridad, varias de ellas clasificadas con una severidad “Alta”. A continuación, se detallan las vulnerabilidades corregidas: • CVE-2024-12692: Confusión de tipos de datos en V8, permite a los atacantes ejecutar código arbitrario en el sistema de un usuario. • CVE-2024-12693: Acceso a memoria fuera de los límites establecidos en V8, esta vulnerabilidad podría provocar fallos del sistema o permitir a los atacantes manipular la memoria. • CVE-2024-12694: Uso de memoria después de ser liberada en «Compositing», esta vulnerabilidad involucra un manejo indebido de memoria tras su…