Vulnerabilidades en plugin Newsletter afectan a más de 300 mil sitios WordPress
Se ha hecho público nuevas vulnerabilidades descubiertas en Newsletter, un plugin de WordPress instalado en más de 300,000 sitios, la cual podría permitir a los atacantes ejecutar código malicioso e incluso tomar control del sitio. El complemento Newsletter brinda a los usuarios del CMS WordPress las herramientas necesarias para crear boletines de noticias y lanzar campañas vía email a través de un editor visual. Los fallos detectados corresponden a una vulnerabilidad de cross-site scripting (XSS) cuya explotación exitosa podría permitir a los atacantes inyectar código malicioso en una ventana web, y una vulnerabilidad de inyección de objetos PHP la cual…
Vulnerabilidad crítica en plugin ‘wpDiscuz’ de WordPress
Se ha hecho público una vulnerabilidad crítica en wpDiscuz, un plugin de WordPress instalado en más de 80,000 sitios, la cual podría permitir a los atacantes ejecutar código malicioso de forma remota en servidores que alojan sitios web vulnerables. El complemento wpDiscuz es un sistema de comentarios receptivos en tiempo real dentro que permite a los usuarios mantener sus comentarios en la base de datos de instalaciones WordPress. En una versión reciente del complemento, se agregó una opción para que los usuarios agreguen archivos adjuntos en sus comentarios. Su implementación carecía de protecciones de seguridad y creó una falla crítica…
Actualizaciones de seguridad para Google Chrome.
Google ha lanzado la versión 84.0.4147.105 de Chrome para Windows, Mac y Linux. En esta versión se remedian las vulnerabilidades registradas bajo los ID CVE-2020-6537, CVE-2020-6538, CVE-2020-6532, CVE-2020-6539, CVE-2020-6540 y CVE-2020-6541 que permitían a un atacante ejecutar código remoto arbitrario y además activar una denegación de servicio del sistema afectado. Al momento no existen exploits publicados para estas vulnerabilidades. Telconet como proveedor de servicios de telecomunicaciones, consciente de la importancia de resguardar integridad y disponibilidad de su red, recomienda: Actualizar su navegador Chrome a la versión 84.0.4147.105 con carácter inmediato. En la página oficial de Google Chrome para ayuda a…
5 vulnerabilidades severas del router D-Link reveladas.
La compañía D-Link ha revelado cinco vulnerabilidades graves en algunos de sus modelos de routers, lo que podría permitir un grave compromiso de la red. Además, algunos dispositivos han alcanzado su fase de «final de la vida útil», lo que significa que no serían parcheados. Las vulnerabilidades reportadas por el equipo de ACE – Loginsoft incluyen ataques reflejados de Cross-Site Scripting (XSS), desbordamientos de búfer para obtener credenciales de administrador, omitir la autenticación por completo y ejecutar código arbitrario.Cualquier atacante con acceso a la página de administración del enrutador puede llevar a cabo dichos ataques incluso si no conoce las credenciales de administrador.Para…
Cisco repara vulnerabilidad en firewall ASA/FTD que estaba siendo explotada activamente
Cisco corrigió una un fallo de seguridad de tipo Path Traversal (sólo lectura), de severidad alta y activamente explotada, que afecta la interfaz de servicios web de dos de sus productos de firewall. Si se explota con éxito, la vulnerabilidad de seguridad identificada como CVE-2020-3452 puede permitir que atacantes remotos y no autenticados puedan leer archivos confidenciales en los sistemas vulnerables. Los productos afectados son: Cisco Adaptive Security Appliance (ASA), el SO para dispositivos autónomos, blades y dispositivos virtuales Cisco ASA utilizados para proteger centros de datos y redes corporativas. Cisco Firepower Threat Defense (FTD), un software unificado proporcionando servicios…
Vulnerabilidad SQLi presente en la plantilla WordPress Theme NexosReal Estate 1.7
Se ha publicado un reciente exploit que afecta a la plantilla de diseño de WordPress Theme NexosReal Estate, en su versión 1.7. Este exploit explota dos vulnerabilidades, CVE-2020-15363 y CVE-2020-15364, la cual permite a un atacante remoto desplegar ataques de Reflected Cross Site Scripting y de Injección SQL. Una vez consolidados estos vectores, el atacante puede ocasionar un compromiso considerable a los sitios web que implementen esta plantilla (theme) de WordPress. El desarrollador del tema para WordPress ha liberado una actualización de seguridad, donde se corrigen varios fallos de seguridad. La actualización se encuentra disponible en el sitio web oficial. Para más información: https://nvd.nist.gov/vuln/detail/CVE-2020-15364…
Múltiples vulnerabilidades en Moodle
La plataforma de aprendizaje Moodle, ha realizado recientemente una publicación sobre la detección y correción de múltiples vulnerabilidades de severidad alta y media. La siguientes vulnerabilidades de severidad alta deben ser solventadas mediante la actualización a las versiones 3.9.1, 3.8.4, 3.7.7 y 3.5.13. CVE-2020-14320: Vulnerabilidad en el filtro de registro de tareas, aumentaba el riesgo de un ataque XSS reflejado. Versiones afectadas: 3.9, 3.8 a 3.8.3 y 3.7 a 3.7.6 CVE-2020-14321: Permitía a los usuarios con rol de profesor escalar al rol de manager. Versiones afectadas: 3.9, 3.8 a 3.8.3, 3.7 a 3.7.6, 3.5 a 3.5.12 y todas las versiones…
Actualización de seguridad para Adobe Bridge, Adobe Photoshop, Adobe Prelude y Adobe Reader Mobile
Adobe ha publicado actualizaciones de seguridad para las soluciones Adobe Bridge, Adobe Photoshop, Adobe Prelude y Adobe Reader Mobile, las mismas que resuelven un total de 13 vulnerabilidades, de las cuales 12 están catalogadas como críticas y podrían permitir la ejecución de código arbitrario en los sistemas afectados. Adobe Bridge La actualzación de seguridad soluciona tres (3) vulnerabilidades críticas, con identificadores CVE-2020-9674, CVE-2020-9675 y CVE-2020-9676, que podrían permitir la ejecución de código. Versiones afectadas por el fallo: Adobe Bridge for Windows versión 10.0.3 y anteriores. Adobe Photoshop La actualización de seguridad soluciona cinco (5) vulnerabilidades críticas, con identificadores CVE-2020-9683, CVE-2020-9684 ,CVE-2020-9685,…
Vulnerabilidad RCE afecta a Microsoft Office Excel
El 14 de julio pasado, el Centro de Respuesta de Seguridad de Microsoft publicó un boletín de prensa donde hace pública una vulnerabilidad presente en la aplicación para hojas de cálculo, Office Excel. El fallo de seguridad, identificado bajo CVE-2020-1240, corresponde a una ejecución remota de código que es posible debido a un manejo indebido de objetos en memoria. Con esto, un atacante puede ejecutar instrucciones arbitrarias bajo el contexto del usuario activo en sesión. En caso de que un usuario disponga de permisos de adminsitrador, dicho atacante puede tomar control del sistema afectado, y realizar acciones maliciosas como: instalar…
Mozilla integrará la funcionalidad de cifrado de correo electrónico (OpenPGP) en Thunderbird
Mozilla lanzará en los próximos meses la versión 78.2 de Thunderbird en la que se integrará la característica de cifrado de correo eléctronico de extremo a extremo (OpenPGP). Hasta la versión actual el cifrado se logra principalmente mediante el complemento Enigmail, este ha servido de base para la nueva implementación. El cifrado de extremo a extremo para correo electrónico se puede utilizar para garantizar que solo el remitente y los destinatarios de un mensaje puedan leer el contenido. Sin esta protección, es fácil para los administradores de red, proveedores de correo electrónico y agencias gubernamentales leer sus mensajes. En caso…