CISCO advierte sobre múltiples vulnerabilidades que afectan a los switches Small Business Series
CISCO advierte a sus clientes sobre múltiples vulnerabilidades que afectan a varios conmutadores de la serie Small Business. También indica que está disponible un código de explotación de prueba de concepto (PoC), sin embargo, no existe evidencia de explotación maliciosa activa. Se reveló un total de 9 vulnerabilidades, 5 catalogadas con severidad alta y 4 como críticas que podrían ser explotadas por un atacante remoto no autenticado para ejecutar código arbitrario o causar una condición de denegación de servicio (DoS). Descripción de las vulnerabilidades Las 9 vulnerabilidades reveladas se deben a una validación incorrecta de las solicitudes que se envían…
Vulnerabilidades en plugins: «Registration Magic», «Multiple Page Generator» y «OTP Login Woocommerce & Gravity Forms» de WordPress
El plugin Registration Magic para WordPress ayuda a crear formularios de registro de WordPress personalizados, permite el registro de usuarios, acepta pagos, realiza un seguimiento de los envíos, administra usuarios, analiza estadísticas, asigna roles de usuario, automatiza procesos, envía correos electrónicos masivos y muchas otras funciones. Este plugin se ve afectado por la vulnerabilidad identificada como CVE-2023-2499 con un puntaje CVSS de 9.8, la cual es una falla de omisión de autenticación (authentication bypass). Esto se debe a una verificación insuficiente del usuario que se proporciona durante un inicio de sesión social de Google a través del complemento. Esto hace…
Vulnerabilidades en plugins: «Video Gallery» y «Video Carousel Slider» de WordPress
El plugin Video Gallery para WordPress es un software, amigable con el usuario, el cual ayuda a mejorar la reputación de su sitio cuando las personas buscan temas y videos relacionados, ya sea en Youtube, Vimeo, Wistia o en los motores de búsqueda en general. Este plugin se ve afectado por la vulnerabilidad identificada como CVE-2023-2708 con un puntaje CVSS de 6.1, la cual es una falla de secuencias de comandos reflejadas entre sitios (Reflected Cross-Site Scripting) a través del parámetro ‘search_term’, debido a la validación insuficiente en la entrada y salida de datos. Esto hace posible que los atacantes…
The Essential Addons for Elementor plugin for WordPress
En la vulnerabilidad registrada con el código CVE-2023-32243 con puntuación CVSS 9.8 considerada de severidad crítica, de tipo escalada de privilegios se detecto en un plugin para WordPress conocido como The Essential Addons for Elementor que es vulnerable a los restablecimientos de contraseña arbitrarios no autenticados y lleva a la escalada de privilegios en versiones hasta la 5.7.1. Esto se debe a la falta de validación de una clave de restablecimiento de contraseña en la función reset_password. Esto hace posible que los atacantes no autenticados restablezcan la contraseña de cualquier usuario en un sitio vulnerable, incluido un administrador, si tienen…
Vulnerabilidades en plugins: «Active Directory Integration» y «Download Manager» de WordPress
Wordfence publica dos nuevas vulnerabilidades que afectan al plugin Active Directory Integration de WordPress, el cual permite autenticar a sus usuarios utilizando sus credenciales de Active Directory/LDAP en su sitio de WordPress. También, permite asignar los atributos de Active Directory/LDAP a los atributos del perfil de usuario de WordPress y también le permite asignar roles de WordPress a sus usuarios de LDAP/Active Directory. Además, el complemento tiene una función de informe de autenticación de usuario, que registra cada solicitud de autenticación fallida de Active Directory/LDAP realizada, lo que proporciona funcionalidades de seguridad adicionales. La vulnerabilidad identificada como CVE-2023-2599 y con…
Múltiples vulnerabilidades afectan ArubaOS
Se publicaron múltiples vulnerabilidades en ArubaOS, por lo que se ha lanzado actualizaciones de seguridad para abordar estas fallas, de las cuales 8 son catalogadas con severidad crítica. Las vulnerabilidades identificadas como CVE-2023-22779, CVE-2023-22780, CVE-2023-22781, CVE-2023-22782, CVE-2023-22783, CVE-2023-22784, CVE-2023-22785 y CVE- 2023-22786 comparten un puntaje CVSS de 9.8. Estas vulnerabilidades mencionadas son una falla de desbordamiento de búfer en varios servicios subyacentes, podrían conducir a la ejecución remota de código no autenticado mediante el envío de paquetes especialmente diseñados y destinados al PAPI (protocolo de administración de punto de acceso de Aruba) y protocolo UDP puerto (8211). La explotación exitosa…
Vulnerabilidades en Palo Alto Networks afectan software de Firewalls PAN-OS
PAN-OS es el sistema operativo utilizado en los dispositivos de seguridad de red de Palo Alto Networks, una empresa especializada en soluciones de seguridad informática. Se registraron dos vulnerabilidades que afectan a este producto desde la interfaz web: La primera vulnerabilidad CVE-2023-0007 con puntuación CVSS 6.5, se trata de un Cross-Site Scripting (XSS) en Panorama, la plataforma utilizada para administrar los dispositivos de seguridad permite a un administrador de lectura y escritura autenticado almacene una carga útil de JavaScript en la interfaz web que se ejecutará en el contexto del navegador de otro administrador cuando se visualice. La segunda registrada…
Vulnerabilidad crítica en GitLab expone proyectos a Malicious Runners
GitLab es una plataforma Git y DevOps basada en la nube, la cual ayuda a los desarrolladores a supervisar, probar y desplegar sus códigos. Ofrece un servicio web de control de versiones y desarrollo de software colaborativo basado en Git. GitLab informó recientemente sobre un problema de seguridad crítica, que se da por una vulnerabilidad identificada como CVE-2023-2478 con una puntuación CVSS de 9.6, esta falla representa un grave riesgo para la integridad y seguridad de los proyectos de GitLab. Bajo ciertas condiciones, cualquier cuenta de usuario de GitLab en primera instancia puede explotar un punto final de GraphQL para…
Microsoft corrige fallas en su Patch Tuesday de mayo 2023 incluyendo 3 vulnerabilidades de Zero Day
Microsoft realiza actualizaciones de seguridad con su Patch Tuesday de mayo de 2023 en el que se aborda un total de 38 fallas, entre las cuales se encuentran 3 vulnerabilidades de Zero Day. Entre las fallas corregidas también se tienen 6 vulnerabilidades que han sido catalogadas con severidad “Crítica” ya que permiten la ejecución de código remoto. Categorías de las vulnerabilidades abordadas 12 vulnerabilidades de ejecución remota de código. 8 vulnerabilidades de elevación de privilegios. 8 vulnerabilidades de divulgación de información. 5 vulnerabilidades de denegación de servicio. 4 vulnerabilidades de omisión de funciones de seguridad. 1 vulnerabilidad de suplantación de…
Nueva vulnerabilidad XSS afecta a plugins de WordPress
Se ha detectado una nueva vulnerabilidad que afecta a los plugins Advanced Custom Fields (ACF) y Advanced Custom Fields Pro, los cuales cuentan con más de 2 millones de instalaciones activas. Estos plugins permiten a los usuarios agregar campos de contenido adicionales a sus pantallas de edición de WordPress, ayudando a simplificar la construcción del sitio web con una gama más amplia de campos disponibles. La vulnerabilidad se identificada como CVE-2023-30777 con una puntuación CVSS de 7.1, es una falla de Cross-site scripting (XSS) que podría permitir que los actores maliciosos inyecten secuencias de comandos dañinas, como redireccionamientos, anuncios y…