Inicio / Content / Boletín de INCIBE-CERT del 02-11-2021

Boletín de INCIBE-CERT del 02-11-2021

Vulnerabilidad en la autenticación en GoCD

Fecha de publicación: 
02/11/2021
Importancia: 
5 - Crítica
Recursos afectados: 

GoCD, versiones de la 20.6.0 a la 21.2.0.

Descripción: 

Una vulnerabilidad relativa a la autenticación en GoCD podría permitir a un atacante no autenticado extraer los tokens y otra información sensible, como archivos arbitrarios, de  instancias del servidor GoCD.

Solución: 

Actualizar a la versión 21.3.0.

Detalle: 

Una vulnerabilidad en la autenticación de GoCD podría comprometer la información sensible del sistema.

Encuesta valoración

Referencias: 
GoCD Authentication Vulnerability
Agent 007: Pre-Auth Takeover of Build Pipelines in GoCD
Releases - Version notes | GoCD
Etiquetas: 
Actualización
Java
Vulnerabilidad

Ejecución remota de código en Log360 de ManageEngine

Fecha de publicación: 
02/11/2021
Importancia: 
5 - Crítica
Recursos afectados: 

ManageEngine Log360, versiones anteriores a la 5235.

Descripción: 

Tenable ha reportado a ManageEngine una vulnerabilidad de severidad crítica que podría permitir a un atacante la ejecución remota de código.

Solución: 

Actualizar a la versión 5235.

Detalle: 

Una vulnerabilidad de control de acceso inadecuado podría permitir a un atacante ejecutar código de forma remota mediante el envío de un mensaje especialmente diseñado a Log360, que cambiaría la base de datos de este por otra controlada por el atacante. Esto podría resultar también en una condición de denegación de servicio, una omisión de autenticación o una omisión de restricción en la API REST. Se ha asignado el identificador CVE-2021-20136 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ManageEngine Log360 Database Configuration Overwrite Unauthenticated RCE
Etiquetas: 
Actualización
Vulnerabilidad