Vulnerabilidad de bypass de autenticación en Veeam Backup Enterprise Manager
Veeam ha revelado una nueva vulnerabilidad de seguridad identificada como CVE-2024-40715, que afecta a Veeam Backup Enterprise Manager. Esta vulnerabilidad tiene una severidad alta, con un puntaje de CVSS de 7.7, y representa un riesgo significativo para los usuarios de Veeam Backup Enterprise Manager, quienes podrían ser vulnerables a ataques de men in the middle (MITM). El hallazgo y la divulgación responsable de CVE-2024-40715 fueron realizados por los investigadores de ZDI, a través de la plataforma Hacker One. Productos y versiones afectadas: Veeam Backup Enterprise Manager Solución: Recomendaciones: Referencias:
Vulnerabilidad de inyección SQL en Cisco Nexus Dashboard Fabric Controller
Recientemente, se ha descubierto una nueva vulnerabilidad en los Cisco Nexus Dashboard Fabric Controller, que podría permitir a un atacante ejecutar comandos SQL arbitrarios en dispositivos afectados asociados a la siguiente vulnerabilidad: Productos y versiones afectadas: 12.1.2e,12.1.2p y 12.1.3b Solución: Recomendaciones: Referencias:
Puntos de acceso Cisco URWB vulnerables a inyección de comandos de forma remota.
Cisco ha emitido una advertencia de seguridad crítica sobre una vulnerabilidad de inyección de comandos en su software Unified Industrial Wireless, utilizado en los puntos de acceso Cisco Ultra-Reliable Wireless Backhaul (URWB). Esta vulnerabilidad, identificada como CVE-2024-20418, representa un riesgo considerable para los sistemas afectados. Productos y versiones afectadas: Esta vulnerabilidad afecta a dispositivos específicos de Cisco Catalyst Access Points que utilizan el software URWB en versiones vulnerables con el modo de operación URWB habilitado. Los dispositivos afectados incluyen: Es importante destacar que los dispositivos que no operan en modo URWB no son vulnerables. Para verificar si el dispositivo se…
Vulnerabilidades críticas en Google Chrome
Google ha lanzado una actualización para su navegador Chrome, abordando dos vulnerabilidades de severidad alta que podrían ser explotadas por actores maliciosos. Se recomienda a todos los usuarios, actualizar de inmediato a la versión 130.0.6723.116/.117 en Windows y Mac, y a la versión 130.0.6723.116 en Linux, para protegerse de posibles ataques. CVE Productos afectados Versiones afectadas Solución CVE-2024-10826 Chrome Versiones anteriores a 130.0.6723.116/.117 para Windows y Mac Versiones anteriores a 130.0.6723.116 para Linux. Actualizar a la versión 130.0.6723.116/.117 para Windows y Mac Actualizar a la versión 130.0.6723.116 para Linux. CVE-2024-10827 Recomendaciones: Referencias:
Vulnerabilidad de inyección SQL en Plugins de WordPress
El plugin Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal, Social Share Buttons para WordPress, utilizado para diversas funcionalidades como carga, votación y venta de contenido mediante botones de compartición social, ha sido identificado con una vulnerabilidad crítica de inyección SQL. Esta falla de seguridad permite a atacantes no autenticados explotar consultas SQL mal preparadas para acceder a información sensible en la base de datos. Productos y versiones afectadas: Plugin Photos, Files, YouTube, Twitter, Instagram, TikTok, Ecommerce Contest Gallery – Upload, Vote, Sell via PayPal, Social Share Buttons Solución: Recomendaciones: Referencias:
Nvidia lanza actualización de seguridad para ConnectX y BlueField DPUs ante vulnerabilidades de alta severidad.
Nvidia ha emitido una importante actualización de seguridad para sus Unidades de Procesamiento de Datos (DPUs) ConnectX y BlueField tras el descubrimiento de dos vulnerabilidades de alta severidad (CVE-2024-0105 y CVE-2024-0106). Estas fallas pueden permitir a los atacantes alterar datos, provocar denegaciones de servicio o acceder a información sensible. CVE Productos afectados Versiones afectadas Solución CVE‑2024-0105 ConnectX4 Versiones anteriores a 12.28.2302 Actualizar versión 12.28.2302 o posterior ConnectX4 LX Versiones anteriores a xx.32.1900 Actualizar versión xx.32.1900 o posterior ConnectX GA Versiones anteriores a xx.41.1000 Actualizar versión xx.41.1000 o posterior ConnectX LTS22 Versiones anteriores a xx.35.4030 Actualizar versión xx.35.4030 o posterior ConnectX…
Vulnerabilidad crítica en plugins de WordPress para gestión de mensajes y diseño de productos
Se han descubierto vulnerabilidades críticas que afectan a dos plugins de WordPress, que exponen el sistema a serios riesgos de seguridad, como la ejecución no autorizada de archivos y la carga de contenido peligroso. CVE-2024-50482 (CVSS 10): El plugin Woocommerce Product Design, presenta una vulnerabilidad que permite la carga de archivos peligrosos sin restricciones. Esto posibilita que un atacante cargue archivos maliciosos, como un web Shell al servidor, que luego podrían ejecutarse para obtener acceso no autorizado al sistema y potencialmente comprometer el sitio. CVE-2024-10436 (CVSS 8.8): El plugin WPC Smart Messages for WooCommerce, es vulnerable a la inclusión de…
Vulnerabilidades críticas en plugins de WordPress
Se han descubierto vulnerabilidades críticas en dos plugins de WordPress que suponen importantes riesgos de seguridad, ya que podrían permitir a los atacantes ejecutar acciones maliciosas en el sitio web comprometido. CVE Producto Afectado Versión Afectada Solución CVE-2024-9488 Comments – wpDiscuz plugin. Versiones menores o iguales a la 7.6.24. Actualizar a la versión 7.6.25. CVE-2024-9598 AMP for WP – Accelerated Mobile Pages plugin. Versiones menores o iguales a la 1.0.99.1. Actualizar a la versión 1.0.99.2 o posterior. Recomendaciones: Referencias:
Nueva actualización de seguridad en Gitlab
GitLab, una plataforma de desarrollo colaborativo que ofrece herramientas integradas para la gestión de proyectos, control de versiones y despliegue de aplicaciones, ha emitido una alerta de seguridad para abordar dos vulnerabilidades significativas que afectan a múltiples versiones de su software. A continuación, se detallan las vulnerabilidades reportadas: Productos, versiones afectadas y corregidas: CVE Productos afectados Versiones afectadas Solución CVE-2024-8312 Community Edition Enterprise Edition Versiones desde la 15.10 hasta la 17.3.6, la 17.4 hasta la 17.4.3 y la 17.5 hasta la 17.5.1. Actualizar a las versiones 17.5.1, 17.4.3 y 17.3.6 CVE-2024-6826 Recomendaciones: Referencias:
Actualización de Google Chrome corrige varias vulnerabilidades
Google ha lanzado una actualización crítica de seguridad para su navegador Chrome, esta aborda tres vulnerabilidades de severidad alta, que podrían ser explotadas activamente. Las versiones actualizadas corresponden a la 130.0.6723.69/.70 para Windows y Mac, y 130.0.6723.69 para Linux. A continuación, se detallan las vulnerabilidades identificadas: Productos, versiones afectadas y corregidas: CVE Productos afectados Versiones afectadas Solución CVE-2024-10229 Chrome. Versiones anteriores a la 130.0.6723.69. Actualizar a la versión 130.0.6723.69/.70. CVE-2024-10230 CVE-2024-10231 Recomendaciones: Referencias: