Vulnerabilidad crítica en el complemento InPost de WordPress
Se ha descubierto una vulnerabilidad crítica que afecta a el complemento InPost para WooCommerce y el complemento InPost PL para WordPress. InPost PL es un complemento de integración dedicado, creado para pequeñas y medianas empresas que desean integrarse rápida y cómodamente con los servicios InPost. Productos, versiones afectadas y corregidas: ProductoVersiones afectadasVersiones corregidasInPost para WooCommerceversión 1.4.0 y anterioresSin parche disponibleInPost PLversión 1.4.4 y anterioresversión 1.4.5 Recomendaciones: Referencias:
Vulnerabilidad en el Kernel de Linux
Se ha descubierto una vulnerabilidad en el kernel de Linux, en la función dmam_free_coherent(), esta falla surge de una condición de carrera (race condition) causada por el orden incorrecto de operaciones al liberar asignaciones de DMA (Acceso Directo a Memoria) y gestionar los recursos asociados. CVE-2024-43856 (CVSS: N/A): Esta vulnerabilidad tiene el potencial de causar inestabilidad y malfuncionamiento en el sistema, dado que el DMA es crucial para permitir que los dispositivos de hardware transfieran datos directamente desde y hacia la memoria del sistema sin involucrar al CPU. Un atacante podría explotar esta condición de carrera sincronizando sus operaciones con…
Vulnerabilidad Crítica en Kubernetes ingress-nginx
Se ha descubierto una vulnerabilidad crítica en el controlador ingress-nginx, ampliamente utilizado en Kubernetes, lo que representa una amenaza grave para los entornos multiusuario. Identificada como CVE-2024-7646, destaca por su potencial para permitir la inyección de comandos arbitrarios. Productos y versiones afectadas: Solución: Recomendaciones: Referencias:
Ivanti corrige vulnerabilidades críticas en ITSM
Information Technology Service Management (ITSM) es un enfoque para diseñar, entregar, gestionar y mejorar la manera en que una organización utiliza la tecnología de la información. El objetivo principal de ITSM es asegurarse de que los servicios de TI se alineen con las necesidades y objetivos del negocio, ofreciendo valor y eficiencia. Ivanti ha emitido un aviso de seguridad que aborda dos vulnerabilidades significativas en su plataforma Neurons para ITSM. Los riesgos potenciales van desde la divulgación no autorizada de información hasta el compromiso total del sistema. Ivanti ya ha aplicado parches a todos los entornos de Ivanti Neurons para…
Zimbra Enfrenta Nuevas Vulnerabilidades que Exponen Ataques XSS y LFI
Zimbra Collaboration, la plataforma de correo electrónico y colaboración ampliamente adoptada, ha revelado tres nuevas vulnerabilidades, identificadas como CVE-2024-33533, CVE-2024-33535 y CVE-2024-33536. Estas fallas afectan las versiones 9.0 y 10.0 de Zimbra Collaboration, exponiendo a los usuarios a posibles ataques de Cross-Site Scripting (XSS) y Local File Inclusion (LFI). Versiones afectadas: Solución: Recomendaciones: Referencias:
Vulnerabilidad RCE en Fence Agents
Una vulnerabilidad de alta severidad ha sido descubierta en Fence Agents, componentes de software utilizados en sistemas de alta disponibilidad, generalmente en clústeres de servidores. Su función principal es proteger la integridad de un clúster, asegurando que solo los nodos que funcionan correctamente puedan acceder a los recursos compartidos. CVE-2024-5651 (CVSS 8.8): La vulnerabilidad en cuestión proviene de los Fence Agents que utilizan SSH o Telnet para la comunicación. Un comando especialmente diseñado, suministrado a través de los argumentos –ssh-path o –telnet-path, puede desencadenar la ejecución de código arbitrario en el sistema. Incluso un usuario con bajos privilegios, como un…
Nuevas vulnerabilidades en productos de Palo Alto Networks
Palo Alto Networks, un destacado proveedor de soluciones de ciberseguridad, ha emitido una serie de advertencias de seguridad que abarcan un total de 34 vulnerabilidades en diversos productos. Aunque la compañía asegura que no se han detectado explotaciones hasta la fecha, es importante mantener actualizado los sistemas. Las vulnerabilidades afectan a una variedad de productos de Palo Alto, incluyendo PAN-OS y la aplicación GlobalProtect. Algunas de estas brechas de seguridad provienen de software de terceros, destacando la naturaleza interconectada del ecosistema digital actual. El navegador Prisma Access, basado en Chromium, recibió una importante actualización mensual la cual aborda 31 vulnerabilidades,…
Fortinet publica actualizaciones para vulnerabilidades en sus productos
Fortinet ha emitido una alerta de seguridad que incluye parches para abordar diversas vulnerabilidades de severidad media y baja en varios de sus productos. Estas fallas podrían permitir a los atacantes modificar o eliminar archivos sin autorización, ejecutar comandos con privilegios y filtrar información sensible. Los productos afectados incluyen FortiOS, FortiPAM, FortiProxy, FortiSwitchManager, FortiDDoS, FortiAnalyzer, FortiManager y FortiSOAR CVE-2023-26211 (CVSS 6.4): Esta vulnerabilidad neutraliza incorrectamente la entrada en la generación de páginas web, que afecta al módulo de comunicaciones. Esta falla permite a un atacante autenticado ejecutar un ataque XSS almacenado. CVE-2022-27486 (CVSS 6.0): Esta vulnerabilidad de inyección de comandos del sistema operativo…
Microsoft corrige múltiples vulnerabilidades en su Patch Tuesday de agosto 2024
Microsoft ha lanzado su actualización de Patch Tuesday de agosto de 2024, abordando un total de 89 fallas de seguridad, incluidas seis vulnerabilidades Zero Day explotadas activamente y tres vulnerabilidades Zero Day divulgadas públicamente. Se corrigieron ocho vulnerabilidades críticas, que eran una combinación de elevación de privilegios, ejecución remota de código y divulgación de información. Categorías de las vulnerabilidades abordadas Vulnerabilidades Zero Day Microsoft clasifica una vulnerabilidad como Zero Day si se divulga públicamente o se explota activamente sin una solución oficial disponible. Vulnerabilidades de severidad crítica e importante abordadas A continuación, se muestra la lista de vulnerabilidades que Microsoft…
Nueva Vulnerabilidad Detectada En Zoom
Zoom ha publicado un boletín de seguridad abordando varias vulnerabilidades en sus aplicaciones de Workplace y clientes de Rooms. Entre las más críticas se encuentran: Productos afectadas: Solución: Se recomienda actualizar las aplicaciones de Zoom tan pronto como estén disponibles nuevas versiones. Recomendaciones: Referencias: https://www.tenable.com/cve/CVE-2024-39825 https://nvd.nist.gov/vuln/detail/CVE-2024-29825 https://www.tenable.com/cve/CVE-2024-39818 https://www.zoom.com/en/trust/security-bulletin/