GitLab: Publica parches de seguridad que abordan varias vulnerabilidades
GitLab, la plataforma DevOps ampliamente utilizada para colaboración en código y gestión de proyectos, ha publicado actualizaciones de seguridad para abordar múltiples vulnerabilidades en GitLab Community Edition (CE) y Enterprise Edition (EE). Estas vulnerabilidades podrían permitir a los atacantes secuestrar sesiones de usuario, robar datos sensibles u obtener mayor control dentro de un sistema objetivo. A continuación, se describen las siguientes vulnerabilidades cubiertas por las actualizaciones de seguridad: Productos y versiones afectadas: Se insta a los usuarios a actualizar sus instalaciones de GitLab a las versiones más recientes, ya que GitLab.com ya está ejecutando la versión parcheada. Solución: Actualizar a…
Fortinet emite parches para corregir vulnerabilidades críticas
Fortinet ha publicado un aviso de seguridad donde emite parches que abordan varias vulnerabilidades críticas y de alta severidad en varios de sus productos populares. Estas vulnerabilidades podrían exponer a las organizaciones a la ejecución remota de código, eliminación no autorizada de archivos, inyección de comandos en el sistema operativo y filtraciones de datos sensibles. Los productos afectados incluyen FortiClient (Linux y macOS), FortiSandbox, FortiOS y FortiProxy. CVE-2023-45590 (CVSS 9.4): Esta es una falla de «inyección de código» en FortiClient Linux, la cual podría permitir que un atacante engañe a un usuario para que visite un sitio web malicioso, lo…
Microsoft corrige múltiples vulnerabilidades en su Patch Tuesday de abril 2024
Microsoft realiza actualizaciones de seguridad con su Patch Tuesday de abril del 2024 en el que se aborda un total de 150 fallas, entre las cuales se encuentran dos vulnerabilidades Zero Day. Entre las fallas corregidas también se tienen tres vulnerabilidades que han sido catalogadas con severidad “Crítica”, pero hay más de 67 errores de ejecución remota de código. Más de la mitad de los fallos de RCE se encuentran en los controladores de Microsoft SQL y probablemente comparten un fallo común. Este despliegue de actualizaciones de seguridad resalta el esfuerzo continuo de la empresa para salvaguardar sus sistemas y…
Vulnerabilidades detectadas en Apache HTTP Server
Investigadores de seguridad han descubierto tres vulnerabilidades en Apache HTTP Server, lo que ha provocado un llamado urgente para que los usuarios actualicen sus instalaciones. Estas fallas, identificadas como CVE-2023-38709, CVE-2024-27316 y CVE-2024-24795, abren la puerta a posibles ataques que van desde la alteración del contenido del sitio web hasta escenarios de denegación de servicio (DoS). Versiones afectadas: Estas vulnerabilidades afectan a las siguientes versiones de Apache HTTP Server: Solución: Apache ha lanzado la versión 2.4.59, que soluciona las tres vulnerabilidades. Recomendaciones: Referencias:
Google Chrome corrige nuevas vulnerabilidades
Google ha lanzado una actualización de seguridad para su navegador web Chrome, corrigiendo varias vulnerabilidades, entre las cuales se encuentra una falla de Zero Day identificada como CVE-2024-3159. La misma fue explotada con éxito durante la reciente competencia de hacking Pwn2Own Vancouver 2024 por Edouard Bochin y Tao Yan de Palo Alto Networks. Versiones afectadas: Solución: Google Chrome ha lanzado versiones actualizadas que solucionan las vulnerabilidades previamente descritas. Recomendaciones: Referencias:
Múltiples vulnerabilidades detectadas en Apache Fineract
Apache Fineract, una solución bancaria central de código abierto ampliamente utilizada por instituciones financieras, ha lanzado parches de seguridad para abordar tres vulnerabilidades, una de las cuales ha sido clasificada como crítica. Estas vulnerabilidades podrían potencialmente permitir a los atacantes ejecutar consultas maliciosas en la base de datos o escalar privilegios sin autorización. Versiones afectadas: Solución: Recomendaciones: Referencias:
Backdoor encontrado en librerías XZ Utils utilizados en distribuciones Linux
XZ Utils es una herramienta de compresión de datos presente en casi todas las distribuciones de Linux, que sirve para comprimir formatos de archivos grandes en tamaños más pequeños y manejables para ser compartidos. Se encontró un backdoor en las librerías XZ Utils mediante el cual los atacantes podrían vulnerar el protocolo SSH y tomar control del sistema. La compilación maliciosa resultante interfiere con la autenticación en sshd a través de systemd. SSH es un protocolo comúnmente utilizado para conectarse remotamente a sistemas y sshd es el servicio que permite el acceso. En las circunstancias adecuadas, esta interferencia podría permitir…
Google Chrome Corrige Vulnerabilidades Zero Day
Google ha solventado 7 vulnerabilidades en su motor de búsqueda Chrome, entre las cuales se tiene dos vulnerabilidades catalogadas como Zero Day, mismas que fueron explotadas durante la competencia de hacking Pwn2Own Vancouver 2024. A continuación, se detallan estas dos vulnerabilidades Zero Day: UAF es una vulnerabilidad relacionada con el uso incorrecto de la memoria dinámica durante la operación del programa. Productos Afectados Solución: Actualizar a la versión 123.0.6312.86/.87 para Windows/MacOS y 123.0.6312.86 para Linux, que abordan estas vulnerabilidades. Mantener el software actualizado es esencial para garantizar la seguridad y el rendimiento óptimo de su navegador. Recomendaciones: Referencias:
Vulnerabilidades críticas en plugins de WordPress
Se han revelado nuevas vulnerabilidades que afectan a distintos productos de WordPrees, estas fallas representan graves riesgos de seguridad y requieren atención inmediata para mitigar cualquier posible explotación. El primer producto afectado es la versión premium de WordPress Automatic Plugin, una opción popular para automatizar las importaciones de contenido en sitios web de WordPress. Contiene dos vulnerabilidades de severidad crítica que se detallan a continuación: CVE-2024-27956 (CVSS: 9.8): es una vulnerabilidad de SQL Injection, se debe a la falta de validación en el parámetro proporcionado por el usuario y conocimientos insuficientes de SQL. Los atacantes pueden aprovechar esta falla para…
Vulnerabilidades afectan a productos Mozilla
Mozilla ha lanzado actualizaciones de seguridad urgentes para el navegador Firefox (versión 124, Firefox ESR 115.9) y el cliente de correo Thunderbird (versión 115.9), abordando diversas vulnerabilidades que podrían dejar a los usuarios expuestos a ataques graves. Estas fallas incluyen una vulnerabilidad crítica de ejecución remota de código, así como varios errores de alto riesgo que podrían permitir a los atacantes escapar de los sandbox de seguridad, provocar fallas en el sistema, robar datos o manipular configuraciones. Productos y versiones afectadas Solución Recomendaciones Referencias Para mayor información sobre la vulnerabilidad descrita, consultar los siguientes enlaces: