Vulnerabilidad en Apache OFBiz Explotada Activamente
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta urgente sobre la vulnerabilidad CRÍTICA CVE-2024-38856 con un puntaje base CVSS de 8.1 en Apache OFBiz, un sistema ERP (Planificación de Recursos Empresariales) de código abierto. Esta vulnerabilidad está siendo explotada activamente y ha sido incluida en el catálogo de vulnerabilidades conocidas (KEV) de la agencia. CVE-2024-38856 es una vulnerabilidad de ejecución remota de código previa a la autenticación en Apache OFBiz. Esta falla permite a usuarios no autenticados acceder a funciones que deberían estar restringidas, facilitando la ejecución de código arbitrario en los…
Vulnerabilidad Crítica en WPML de WordPress
Se ha descubierto una vulnerabilidad CRÍTICA en el plugin WPML para WordPress, identificado como CVE-2024-6386 y con una puntuación CVSS: 9.9, esta vulnerabilidad permite la ejecución remota de código (RCE) a través de una inyección de plantillas del lado del servidor (SSTI) en Twig (motor de plantillas). WPML (WordPress Multilingual Plugin) es un complemento premium para WordPress que facilita la creación y gestión de sitios web en múltiples idiomas. Permite traducir contenido como publicaciones, páginas, y menús, y es compatible con la mayoría de los temas y plugins. La vulnerabilidad se encuentra en el manejo de códigos cortos dentro del…
Hillstone Networks corrige vulnerabilidad crítica de RCE
Hillstone Networks, una empresa de ciberseguridad que ofrece protección digital integral, ha publicado un aviso de seguridad que aborda una vulnerabilidad crítica en su producto Web Application Firewall (WAF). Este aviso destaca la importancia de una rápida acción por parte de los usuarios para mitigar los riesgos asociados con esta falla de seguridad. CVE-2024-8073 (CVSS 9.8): Esta vunerabilidad permite a atacantes remotos ejecutar código arbitrario (RCE) en los sistemas afectados, lo que podría conducir a un compromiso total del sistema. La vulnerabilidad se encuentra en la página de códigos de verificación del WAF, donde una validación de entrada incorrecta permite a…
Vulnerabilidad Crítica Descubierta en el Botnet Mirai
La botnet Mirai, conocida por comprometer dispositivos del Internet de las Cosas (IoT) como cámaras IP y enrutadores, ha sido recientemente vinculada a una vulnerabilidad CRÍTICA designada como CVE-2024-45163. Esta falla, con una puntuación CVSS de 9.1, permite realizar ataques de denegación de servicio (DoS) remotos que pueden paralizar los servidores de comando y control (CNC) de Mirai, desactivando potencialmente la botnet. Descripción de la Vulnerabilidad Desde su aparición en 2016, Mirai ha ganado notoriedad por su capacidad de formar una red de bots a partir de dispositivos IoT comprometidos. Esta red se utiliza para lanzar ataques de denegación de…
Nueva Vulnerabilidad Zero-Day encontrada en Google Chrome
Google ha lanzado una actualización de seguridad para su navegador Chrome en respuesta a una vulnerabilidad de día cero que está siendo explotada activamente. Identificada como CVE-2024-7971, esta vulnerabilidad de criticidad alta se presenta en el type confusion de V8, el motor de JavaScript y WebAssembly de código abierto desarrollado por Google para los navegadores web Chromium y Google Chrome. La actualización de Chrome 128.0.6613.84/.85 no solo corrige esta vulnerabilidad, sino también otras vulnerabilidades de criticidad alta. Versiones afectadas: Solución: Recomendaciones: Referencias:
Vulnerabilidad de Ejecución Remota de Código en Apache DolphinScheduler
Apache DolphinScheduler, herramienta ampliamente utilizada para la orquestación de datos, ha emitido una advertencia crítica de seguridad con relación a una vulnerabilidad de ejecución remota de código (RCE). Esta vulnerabilidad, identificada como CVE-2024-43202, representa un riesgo considerable para los usuarios de la plataforma, permitiendo potencialmente que atacantes ejecuten código arbitrario en sistemas vulnerables. Dado que esta herramienta es crucial en la gestión de dependencias complejas de tareas y la orquestación de flujos de datos en diversas industrias, el impacto potencial de esta vulnerabilidad es considerable. Las organizaciones que dependen de DolphinScheduler para automatizar y gestionar sus operaciones de datos corren…
Vulnerabilidad crítica en el complemento InPost de WordPress
Se ha descubierto una vulnerabilidad crítica que afecta a el complemento InPost para WooCommerce y el complemento InPost PL para WordPress. InPost PL es un complemento de integración dedicado, creado para pequeñas y medianas empresas que desean integrarse rápida y cómodamente con los servicios InPost. Productos, versiones afectadas y corregidas: Producto Versiones afectadas Versiones corregidas InPost para WooCommerce versión 1.4.0 y anteriores Sin parche disponible InPost PL versión 1.4.4 y anteriores versión 1.4.5 Recomendaciones: Referencias:
Vulnerabilidad en el Kernel de Linux
Se ha descubierto una vulnerabilidad en el kernel de Linux, en la función dmam_free_coherent(), esta falla surge de una condición de carrera (race condition) causada por el orden incorrecto de operaciones al liberar asignaciones de DMA (Acceso Directo a Memoria) y gestionar los recursos asociados. CVE-2024-43856 (CVSS: N/A): Esta vulnerabilidad tiene el potencial de causar inestabilidad y malfuncionamiento en el sistema, dado que el DMA es crucial para permitir que los dispositivos de hardware transfieran datos directamente desde y hacia la memoria del sistema sin involucrar al CPU. Un atacante podría explotar esta condición de carrera sincronizando sus operaciones con…
Vulnerabilidad Crítica en Kubernetes ingress-nginx
Se ha descubierto una vulnerabilidad crítica en el controlador ingress-nginx, ampliamente utilizado en Kubernetes, lo que representa una amenaza grave para los entornos multiusuario. Identificada como CVE-2024-7646, destaca por su potencial para permitir la inyección de comandos arbitrarios. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:
Ivanti corrige vulnerabilidades críticas en ITSM
Information Technology Service Management (ITSM) es un enfoque para diseñar, entregar, gestionar y mejorar la manera en que una organización utiliza la tecnología de la información. El objetivo principal de ITSM es asegurarse de que los servicios de TI se alineen con las necesidades y objetivos del negocio, ofreciendo valor y eficiencia. Ivanti ha emitido un aviso de seguridad que aborda dos vulnerabilidades significativas en su plataforma Neurons para ITSM. Los riesgos potenciales van desde la divulgación no autorizada de información hasta el compromiso total del sistema. Ivanti ya ha aplicado parches a todos los entornos de Ivanti Neurons para…