Inicio / Content / Boletín de INCIBE-CERT del 02-06-2020

Boletín de INCIBE-CERT del 02-06-2020

Vulnerabilidad de errores de procesamiento de datos en productos de Cisco

Fecha de publicación: 
02/06/2020
Importancia: 
4 - Alta
Recursos afectados: 

Esta vulnerabilidad afecta a los siguientes productos de Cisco si están ejecutando una versión vulnerable del software Cisco NX-OS:

  • Nexus 1000 Virtual Edge para VMware vSphere;
  • Nexus 1000V Switch para Microsoft Hyper-V y VMware vSphere;
  • Nexus 3000, 6000 y 7000 Series Switches;
  • Nexus 9000 Series Switches en modo independiente NX-OS;
  • Nexus 5500 y 5600 Platform Switches;
  • UCS 6200 y 6300 Series Fabric Interconnects.
Descripción: 

Yannay Livneh ha reportado una vulnerabilidad, de severidad alta, de tipo errores de procesamiento de datos en múltiples productos de Cisco.

Solución: 

Las actualizaciones que corrigen la vulnerabilidad indicada, detalladas en la sección Fixed Software del aviso, pueden descargarse desde el panel de descarga de Software Cisco.

Detalle: 

Una vulnerabilidad en la pila de red del software Cisco NX-OS podría permitir que un atacante remoto, no autenticado, omita ciertos límites de seguridad o cause una condición de denegación de servicio (DoS) en un dispositivo afectado. Se ha reservado el identificador CVE-2020-10136 para esta vulnerabilidad.

Encuesta valoración

GESIO SQL injection vulnerability

Fecha de publicación: 
01/06/2020
Importancia: 
5 - Crítica
Recursos afectados: 

GESIO ERP versión earlier 11.2.

Descripción: 

INCIBE has coordinated the publication of a vulnerability in the GESIO ERP software, with the internal code INCIBE-2020-225, which has been discovered by Francisco Palma, Luis Vázquez, Diego León.

CVE-2020-8967 has been assigned to this vulnerability. A CVSS v3 base score of 10  has been calculated; the CVSS vector string is AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:H/RL:O/RC:C/CR:H/IR:H/AR:M/MAV:N/MAC:L/MPR:N/MUI:N/MS:C/MC:H/MI:H/MA:H.

Solución: 

Update to version 11.2

Detalle: 

GESIO ERP is vulnerable to a SQL INJECTION in "idsite" URL parameter, included within the cms_plantilla_sites.php file.
The exploitation of this vulnerability might allow a remote attacker to execute at least three types of actions:

  • Error-based attack,
  • Time-based attack,
  • Union query attack.

Due to this vulnerability, an attacker is capable of retrieving all database information.

GESIO has deployed the following actions to fix this issue:

  • Internal procedures enhancements.
  • Implementation of new anti-injection programming checks on the front-end which will be available since version 11.2.
  • Additional functions improvements on the back-end, which will be also available since version 11.2.

CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

TIMELINE:

02/04/2019 – Researchers disclosure.

08/04/2020 – Researchers contact with INCIBE.

21/04/2020 – GESIO Security Team confirms the vulnerability to INCIBE and confirms that the fix version and the release software patch have been published v11.2 (Security Patch).      

01/06/2020 – The advisory is published by INCIBE.

If you have any information regarding this advisory, please contact INCIBE as indicated in the CVE Assignment and publication section.

Encuesta valoración

Vulnerabilidad de inyección SQL en GESIO

Fecha de publicación: 
01/06/2020
Importancia: 
5 - Crítica
Recursos afectados: 

GESIO ERP, versiones anteriores a la 11.2.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en el software GESIO ERP, con el código interno INCIBE-2020-225, que ha sido descubierto por Francisco Palma, Luis Vázquez y Diego León.

Se ha asignado el código CVE-2020-8967 para esta vulnerabilidad. Se ha calculado una puntuación base de 10 según CVSS v3; siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:H/RL:O/RC:C/CR:H/IR:H/AR:M/MAV:N/MAC:L/MPR:N/MUI:N/MS:C/MC:H/MI:H/MA:H.

Solución: 

Actualizar a la versión 11.2.

Detalle: 

GESIO ERP es vulnerable a una INYECCIÓN SQL en el parámetro URL "idsite", incluido en el archivo cms_plantilla_sites.php.

La explotación de esta vulnerabilidad podría permitir a un atacante remoto ejecutar, al menos, tres tipos de acciones:

  • ataque basado en error,
  • ataque basado en tiempo,
  • ataque por unión.

Debido a esta vulnerabilidad, un atacante podría ser capaz de recuperar toda la información de la base de datos.

GESIO ha desplegado las siguientes acciones para solucionar este problema:

  • Mejoras en los procedimientos internos.
  • Implementación de nuevos controles de programación anti-inyección en el frontend que estarán disponibles desde la versión 11.2.
  • Mejoras adicionales en las funciones del backend, que también estarán disponibles desde la versión 11.2.

CWE-89: Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL).

Línea temporal:

02/04/2019 – Descubrimiento de los investigadores.

08/04/2020 – Investigadores contactan con INCIBE.

21/04/2020 – El equipo de seguridad de GESIO confirma a INCIBE la vulnerabilidad, indicando que la versión de corrección y el parche del software de lanzamiento han sido publicados en la v11.2 (Parche de seguridad).

01/06/2020 – El aviso es publicado por INCIBE.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración