Noticias de Seguridad

Python es un lenguaje de programación ampliamente utilizado debido a su simplicidad y versatilidad, lo que lo convierte en una herramienta esencial para desarrolladores y administradores de sistemas. Dentro de su ecosistema, el paquete «zhmcclient» destaca como una biblioteca cliente diseñada para interactuar con el IBM Z HMC Web Services API. Se ha identificado una vulnerabilidad alta en «zhmcclient» que expone información sensible, como contraseñas, en texto claro en los registros API y HMC, comprometiendo potencialmente la seguridad de los sistemas afectados. Productos y versiones afectadas:  Solución:  Recomendaciones: Referencias:

Se ha identificado una vulnerabilidad en el Apache Arrow R package, utilizado para procesar datos en formatos IPC, Feather y Parquet. Este problema surge al deserializar datos de archivos maliciosos, lo que podría derivar en comportamientos inesperados si se procesan entradas provenientes de fuentes no confiables. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:

Zyxel es una empresa líder en soluciones de redes, conocida por ofrecer productos avanzados como firewalls, routers y soluciones de conectividad empresarial. En los últimos días, se ha identificado una vulnerabilidad crítica en sus firewalls, la cual está siendo explotada activamente para propagar ransomware y comprometer entidades. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:

Jenkins, el ampliamente utilizado servidor de automatización de código abierto, ha emitido un aviso de seguridad que detalla múltiples vulnerabilidades en su sistema principal y en diversos complementos asociados. Estas vulnerabilidades, que abarcan desde denegación de servicio hasta secuencias de comandos entre sitios (XSS), representan riesgos significativos para los usuarios si no se corrigen oportunamente. CVE Productos afectados Versiones afectadas Solución CVE-2024-54003 Jenkins Simple Queue Plugin. Versión 0 hasta la 1.4.4. Versión 1.4.5 CVE-2024-47855 Jenkins weekly Versiones inferiores a 2.487. Versión 2.487. Jenkins LTS Versiones inferiores a 2.479.2. Versión 2.479.2. CVE-2024-54004 Jenkins Filesystem List Parameter Plugin.  Versión 0 hasta la…

Se han identificado múltiples vulnerabilidades en el plugin File Manager Pro – Filester para WordPress, ampliamente utilizado para la gestión de archivos en sitios web. Estas fallas podrían permitir a atacantes autenticados subir archivos maliciosos o ejecutar código arbitrario en los servidores afectados. CVE Producto Afectado Versión Afectada Solución CVE-2024-8066 File Manager Pro – Filester plugin. Versiones anteriores a la 1.8.5. Versión 1.8.5 o posterior. CVE-2024-9669 Versiones anteriores a la 1.8.6. Versión 1.8.6 o posterior. Recomendaciones: Referencias:

Se ha identificado una vulnerabilidad crítica que afecta al plugin Contest Gallery para WordPress, ampliamente utilizado para la gestión de galerías y concursos en línea. Este fallo de seguridad podría permitir a atacantes no autenticados tomar el control de cuentas en los sitios afectados, incluyendo aquellas con privilegios administrativos, Productos y versiones afectadas: Solución: Recomendaciones: Referencias:

VMware ha identificado múltiples vulnerabilidades en su producto, VMware Aria Operations una herramienta clave para la administración en entornos virtualizados y de nube. Estas fallas de seguridad podrían permitir desde escalamiento de privilegios hasta inyección de scripts maliciosos. CVE Producto Afectado Versión Afectada Solución CVE-2024-38830   VMware Aria Operations. Desde 8.x hasta antes de la 8.18.2.Desde 5.x hasta antes de la 8.18.2.Desde 4.x hasta antes de la 8.18.2. Versión 8.12.2 o posterior. CVE-2024-38831 CVE-2024-38832 CVE-2024-38833 CVE-2024-38834 Recomendaciones: Referencias: 

NVIDIA ha lanzado recientemente una actualización de firmware para mitigar una vulnerabilidad de alta severidad que afecta a sus productos UFM Enterprise, UFM Appliance y UFM CyberAI. Esta vulnerabilidad, identificada como CVE-2024-0130, puede permitir a un atacante obtener privilegios elevados, alterar datos, causar denegación de servicio y divulgar información sensible. CVE ID Producto Afectado Plataforma/OS Versiones Afectadas Versión Actualizada CVE-2024-0130        UFM Enterprise GA RHEL 8, RHEL 9, Ubuntu20, Ubuntu22 6.15.x, 6.16.x, 6.17.x 6.18.0-5 UFM Enterprise LTS23 RHEL 7, RHEL 8, RHEL 9, Ubuntu18, Ubuntu20, Ubuntu22 6.15.x LTS (antes de 6.15.6-4 LTS) 6.15.6-4 LTS UFM Enterprise Appliance GA N/A 1.6.x, 1.7.x, 1.8.x…

Zabbix, una herramienta ampliamente utilizada para el monitoreo de redes y sistemas, ayuda a las organizaciones a supervisar y gestionar sus infraestructuras de TI mediante una visión integral del rendimiento. Recientemente, se ha identificado vulnerabilidades críticas que afectan a este software. CVE-2024-42327 (CVSS 9.9):Esta vulnerabilidad se encuentra en la clase CUser del código fuente de Zabbix, específicamente en la función addRelatedObjects, que es llamada por la función CUser.get. Ambas funciones son accesibles para cualquier usuario con permisos de API. Esto permite que un atacante, incluso con una cuenta no administrativa asignada con el rol predeterminado de usuario u otro rol…