GitLab publica parche de seguridad crítico
GitLab ha lanzado un parche de seguridad crítico que afecta a las ediciones Community Edition (CE) y Enterprise Edition (EE), corrigiendo varias vulnerabilidades, incluyendo una clasificada como crítica. Estas fallas podrían permitir a atacantes ejecutar código arbitrario y comprometer sistemas de GitLab. A continuación, se describen las principales vulnerabilidades corregidas en esta actualización. Productos y versiones afectadas: Solución: Actualizar inmediatamente a las versiones 17.3.2, 17.2.5 o 17.1.7 de GitLab Community Edition (CE) y Enterprise Edition (EE) para corregir las vulnerabilidades mencionadas. Recomendaciones: Referencias:
Microsoft corrige múltiples vulnerabilidades en su Patch Tuesday de septiembre 2024
Microsoft ha lanzado su actualización de Patch Tuesday de septiembre de 2024, abordando un total de 79 vulnerabilidades, entre ellas cuatro vulnerabilidades Zero Day que han sido explotadas activamente, y una divulgada públicamente. Este parche corrige siete vulnerabilidades críticas, que eran una combinación de elevación de privilegios y ejecución remota de código. Categorías de las vulnerabilidades abordadas Vulnerabilidades de Zero Day Microsoft clasifica una vulnerabilidad como de día cero si se divulga públicamente o se explota activamente sin una solución oficial disponible Vulnerabilidades de severidad crítica e importante abordadas A continuación, se muestra la lista de vulnerabilidades que Microsoft considera…
Vulnerabilidades Críticas en Kibana permiten Ejecución de Código Remoto
Recientemente se han identificado dos vulnerabilidades críticas que afectan a la plataforma Kibana de Elastic, utilizadas para la visualización y gestión de datos en Elasticsearch. Estas vulnerabilidades, identificadas como CVE-2024-37288 y CVE-2024-37285, pueden permitir la ejecución remota de código si se explotan correctamente. La explotación de estas fallas podría comprometer la confidencialidad, integridad y disponibilidad de los sistemas afectados. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:
Vulnerabilidad crítica en Foreman compromete la seguridad de Red Hat Satellite
Foreman, una herramienta de gestión del ciclo de vida de servidores físicos y virtuales, ha sido afectada por una vulnerabilidad crítica (CVE-2024-7012) que pone en riesgo la seguridad de Red Hat Satellite, una plataforma basada en Foreman. Este fallo permite a atacantes no autorizados obtener acceso administrativo completo a los sistemas afectados. Detalles de la Vulnerabilidad Productos y Versiones Afectadas Solución Recomendaciones: Referencias:
Vulnerabilidad crítica en Progress LoadMaster
Progress Software ha revelado una vulnerabilidad crítica que afecta su solución LoadMaster, un controlador de entrega de aplicaciones (ADC, por sus siglas en inglés) utilizado para el balanceo de carga y la disponibilidad de aplicaciones. Esta vulnerabilidad, identificada como CVE-2024-7591, representa un riesgo significativo para los usuarios que no han aplicado los parches de seguridad en las versiones afectadas de LoadMaster. Detalles de la Vulnerabilidad Productos y Versiones Afectadas Solución Recomendaciones Referencias
Vulnerabilidades Críticas en Veeam Service Provider Console y Veeam ONE
Veeam, una plataforma reconocida por su capacidad para gestionar la protección de datos en entornos virtuales y en la nube, ha identificado múltiples vulnerabilidades críticas en Veeam Service Provider Console y Veeam ONE. Estos fallos podrían comprometer gravemente la seguridad de los datos y los sistemas de las organizaciones que utilizan estos productos. Detalles de las Vulnerabilidades Productos y Versiones Afectadas Solución Se recomienda actualizar de inmediato a las versiones que corrigen estas vulnerabilidades: Recomendaciones Referencias
Múltiples vulnerabilidades en los productos de Veeam exponen a ataques de ejecución remota de código
Veeam ha identificado varias vulnerabilidades graves en su software Backup & Replication, las cuales podrían permitir a atacantes no autenticados tomar el control del sistema, comprometiendo la seguridad de los datos y la integridad de las operaciones de respaldo. Entre estas vulnerabilidades, destaca un fallo de ejecución remota de código (RCE), que permite a los atacantes obtener control total del sistema afectado. Detalles de las Vulnerabilidades Productos y Versiones Afectadas Solución Recomendaciones Es fundamental actualizar todos los sistemas afectados a la última versión para mitigar estos riesgos y asegurar la integridad de los datos y sistemas de respaldo. Referencias https://securityonline.info/veeam-backup-replication-faces-rce-flaw-cve-2024-40711-cvss-9-8-allows-full-system-takeover/…
Zyxel corrige vulnerabilidades en puntos de Acceso y routers
Zyxel ha lanzado nuevas actualizaciones de software para corregir una serie de vulnerabilidades críticas que afectan a ciertas versiones de sus puntos de acceso (AP) y routers de seguridad. Estas vulnerabilidades pueden permitir la ejecución de comandos no autorizados y otros tipos de ataques que comprometen la seguridad de los dispositivos. Detalles de las Vulnerabilidades Productos Afectados CVE Versiones afectadas CVE-2024-7261 Firmware 6.70(ABVT.4) y anteriores de Zyxel NWA1123ACv3Firmware 6.70(ABVS.4) y anteriores de WAC500Firmware 7.00(ACDO.1) y anteriores de WAX655EFirmware 7.00(ACLE.1) y anteriores de WBE530Firmware V2.00(ACIP.2) de USG LITE 60AX CVE-2024-5412 Múltiples se recomienda verificar la Documentación del fabricante. CVE-2024-6343 Firmware de…
Vulnerabilidades en productos de Cisco
Este boletín informa sobre cinco vulnerabilidades recientemente identificadas en productos clave de Cisco. A continuación, se ofrece un resumen de cada vulnerabilidad, seguido de una tabla con los productos afectados, sus versiones, la solución disponible, y recomendaciones para mitigar los riesgos. Resumen de Vulnerabilidades Tabla de Productos Afectados y Versiones CVE Producto Afectado Versión Afectada CVE-2024-20439 Cisco Smart Licensing Utility 2.0.02.1.02.2.0 CVE-2024-20295 5000 Series Enterprise Network Compute Systems (ENCS).Catalyst 8300 Series Edge uCPE.UCS C-Series Rack Servers in standalone mode.UCS E-Series Servers. Múltiples, se recomienda visitar:Web oficial CVE-2024-20440 Cisco Smart Licensing Utility 2.0.02.1.02.2.0 CVE-2024-20497 Cisco Expressway Edge (Expressway-E) versión 14 y…
Nueva vulnerabilidad en WPS Office
Una vulnerabilidad alta identificada como CVE-2024-7262 (CVSS 7.8) afecta a Kingsoft WPS Office, un software de oficina ampliamente utilizado, especialmente en Asia. Este fallo de seguridad permite la ejecución de código arbitrario debido a una validación inadecuada de rutas de archivos en el componente promecefpluginhost.exe, lo que facilita la carga de librerías maliciosas en sistemas Windows. Explotación Activa Esta vulnerabilidad ha sido aprovechada por el grupo de ciberespionaje APT-C-60, alineado con Corea del Sur, para distribuir una puerta trasera conocida como SpyGlace. Este malware ha sido utilizado en ataques dirigidos contra usuarios y organizaciones, predominantemente en China y Asia Oriental,…