Inicio / Content / Boletín de INCIBE-CERT del 05-09-2019

Boletín de INCIBE-CERT del 05-09-2019

Actualización de seguridad 5.2.3 para WordPress

Fecha de publicación: 
05/09/2019
Importancia: 
4 - Alta
Recursos afectados: 

WordPress, versiones 5.2.2 y anteriores.

Descripción: 

Más de 62 investigadores han colaborado en la identificación de diversas vulnerabilidades, corregidas en esta versión.

Solución: 

Ha sido publicada la versión 5.2.3 del gestor de contenidos WordPress para solucionar dichas vulnerabilidades, disponible desde su página de descarga.

Detalle: 

Las correcciones de seguridad solucionan las siguientes vulnerabilidades:

  • Cross-Site Scripting (XSS) en las previsualizaciones de las publicaciones de los colaboradores, en los comentarios almacenados, en las previsualizaciones de códigos abreviados y por un problema al sanear una URL.
  • Redirección abierta al realizar la validación y al sanear una URL.
  • XSS reflejado durante la subida de contenido multimedia y en el cuadro de mandos.

Encuesta valoración

Múltiples vulnerabilidades en productos de Netgear

Fecha de publicación: 
05/09/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Los dispositivos afectados son:
    • D3600, ejecutando versiones de firmware anteriores a la versión 1.0.0.76; 
    • D6000, ejecutando versiones de firmware anteriores a la versión 1.0.0.76; 
    • D6220, ejecutando versiones de firmware anteriores a la versión 1.0.0.40; 
    • D6220, ejecutando versiones de firmware anteriores a la versión 1.0.0.44; 
    • D6400, ejecutando versiones de firmware anteriores a la versión 1.0.0.78; 
    • D7000v2, ejecutando versiones de firmware anteriores a la versión 1.0.0.51; 
    • D8500, ejecutando versiones de firmware anteriores a la versión 1.0.3.39; 
    • D8500, ejecutando versiones de firmware anteriores a la versión 1.0.3.42; 
    • DGN2200v4, ejecutando versiones de firmware anteriores a la versión 1.0.0.110; 
    • DGND2200Bv4, ejecutando versiones de firmware anteriores a la versión 1.0.0.110; 
    • EX3700, ejecutando versiones de firmware anteriores a la versión 1.0.0.70; 
    • EX3800, ejecutando versiones de firmware anteriores a la versión 1.0.0.70; 
    • EX6000, ejecutando versiones de firmware anteriores a la versión 1.0.0.30; 
    • EX6100, ejecutando versiones de firmware anteriores a la versión 1.0.2.22; 
    • EX6100, ejecutando versiones de firmware anteriores a la versión 1.0.2.24; 
    • EX6120, ejecutando versiones de firmware anteriores a la versión 1.0.0.40; 
    • EX6130, ejecutando versiones de firmware anteriores a la versión 1.0.0.22; 
    • EX6150v1, ejecutando versiones de firmware anteriores a la versión 1.0.0.42; 
    • EX6200, ejecutando versiones de firmware anteriores a la versión 1.0.3.88; 
    • EX7000, ejecutando versiones de firmware anteriores a la versión 1.0.0.66; 
    • JNDR3000, ejecutando versiones de firmware anteriores a la versión 1.0.0.22; 
    • R6250, ejecutando versiones de firmware anteriores a la versión 1.0.4.26; 
    • R6300v2, ejecutando versiones de firmware anteriores a la versión 1.0.4.18; 
    • R6300v2, ejecutando versiones de firmware anteriores a la versión 1.0.4.22; 
    • R6300v2, ejecutando versiones de firmware anteriores a la versión 1.0.4.28; 
    • R6400, ejecutando versiones de firmware anteriores a la versión 1.0.1.24; 
    • R6400, ejecutando versiones de firmware anteriores a la versión 1.0.1.36; 
    • R6400v2, ejecutando versiones de firmware anteriores a la versión 1.0.2.32; 
    • R6400v2, ejecutando versiones de firmware anteriores a la versión 1.0.2.52; 
    • R6700, ejecutando versiones de firmware anteriores a la versión 1.0.1.22; 
    • R6700, ejecutando versiones de firmware anteriores a la versión 1.0.1.44; 
    • R6700, ejecutando versiones de firmware anteriores a la versión 1.0.1.46; 
    • R6700v3, ejecutando versiones de firmware anteriores a la versión 1.0.2.32; 
    • R6900, ejecutando versiones de firmware anteriores a la versión 1.0.1.22; 
    • R6900, ejecutando versiones de firmware anteriores a la versión 1.0.1.44; 
    • R6900, ejecutando versiones de firmware anteriores a la versión 1.0.1.46; 
    • R6900P, ejecutando versiones de firmware anteriores a la versión 1.0.0.56; 
    • R6900P, ejecutando versiones de firmware anteriores a la versión 1.3.1.26; 
    • R6900P, ejecutando versiones de firmware anteriores a la versión 1.3.1.64; 
    • R7000, ejecutando versiones de firmware anteriores a la versión 1.0.9.28; 
    • R7000, ejecutando versiones de firmware anteriores a la versión 1.0.9.6; 
    • R7000P, ejecutando versiones de firmware anteriores a la versión 1.0.0.56; 
    • R7000P, ejecutando versiones de firmware anteriores a la versión 1.3.1.26; 
    • R7000P, ejecutando versiones de firmware anteriores a la versión 1.3.1.64; 
    • R7100LG, ejecutando versiones de firmware anteriores a la versión 1.0.0.42; 
    • R7100LG, ejecutando versiones de firmware anteriores a la versión 1.0.0.46; 
    • R7300DST, ejecutando versiones de firmware anteriores a la versión 1.0.0.54; 
    • R7300DST, ejecutando versiones de firmware anteriores a la versión 1.0.0.62; 
    • R7300DST, ejecutando versiones de firmware anteriores a la versión 1.0.0.68; 
    • R7800, ejecutando versiones de firmware anteriores a la versión 1.0.2.60; 
    • R7900, ejecutando versiones de firmware anteriores a la versión 1.0.1.26; 
    • R7900, ejecutando versiones de firmware anteriores a la versión 1.0.2.10; 
    • R7900, ejecutando versiones de firmware anteriores a la versión 1.0.2.16; 
    • R7900P, ejecutando versiones de firmware anteriores a la versión 1.3.0.10; 
    • R7900P, ejecutando versiones de firmware anteriores a la versión 1.4.1.42; 
    • R8000, ejecutando versiones de firmware anteriores a la versión 1.0.4.12; 
    • R8000, ejecutando versiones de firmware anteriores a la versión 1.0.4.18; 
    • R8000P, ejecutando versiones de firmware anteriores a la versión 1.3.0.10; 
    • R8000P, ejecutando versiones de firmware anteriores a la versión 1.4.1.42; 
    • R8300, ejecutando versiones de firmware anteriores a la versión 1.0.2.106; 
    • R8300, ejecutando versiones de firmware anteriores a la versión 1.0.2.116; 
    • R8300, ejecutando versiones de firmware anteriores a la versión 1.0.2.122; 
    • R8500, ejecutando versiones de firmware anteriores a la versión 1.0.2.106; 
    • R8500, ejecutando versiones de firmware anteriores a la versión 1.0.2.116; 
    • R8500, ejecutando versiones de firmware anteriores a la versión 1.0.2.122; 
    • WN2500RPv2, ejecutando versiones de firmware anteriores a la versión 1.0.1.54; 
    • WNDR3400v3, ejecutando versiones de firmware anteriores a la versión 1.0.1.18; 
    • WNDR3400v3, ejecutando versiones de firmware anteriores a la versión 1.0.1.22; 
    • WNDR4500v2, ejecutando versiones de firmware anteriores a la versión 1.0.0.68; 
    • WNR3500Lv2, ejecutando versiones de firmware anteriores a la versión 1.2.0.46; 
    • WNR3500Lv2, ejecutando versiones de firmware anteriores a la versión 1.2.0.48; 
    • WNR3500Lv2, ejecutando versiones de firmware anteriores a la versión 1.2.0.54; 
    • XR500, ejecutando versiones de firmware anteriores a la versión 2.3.2.32.
Descripción: 

Netgear ha detectado 10 vulnerabilidades de criticidad alta que afectan a múltiples productos.

Solución: 

Acceder a la página de soporte de Netgear, y descargar la última versión del firmware del dispositivo afectado.

Detalle: 

Un atacante que aprovechara alguna de las vulnerabilidades descritas en este aviso podría llegar a realizar alguna de las siguientes acciones:

  • inyección SQL;
  • desbordamiento de búfer;
  • inyección de comandos.

Encuesta valoración

Vulnerabilidad en Data Protection Central Authentication de Dell EMC

Fecha de publicación: 
05/09/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Dell EMC Data Protection Central 1.0,
  • Dell EMC Data Protection Central 1.0.1,
  • Dell EMC Data Protection Central 18.1,
  • Dell EMC Data Protection Central 18.2,
  • Dell EMC Data Protection Central 19.1.
Descripción: 

Dell EMC Data Protection Central presenta una vulnerabilidad de autenticación que podría permitir a un atacante comprometer el sistema afectado.

Solución: 
  • Actualizar a Dell EMC Data Protection Central versiones 18.2.1 y 19.1.1.
Detalle: 

Una vulnerabilidad del tipo cadena de confianza del certificado inadecuada podría permitir a un atacante remoto, no autenticado, obtener un certificado firmado por CA de Data Protection Central para poder hacerse pasar por un sistema válido y comprometer la integridad de los datos. Se ha reservado el identificador CVE-2019-3762 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en productos Cisco

Fecha de publicación: 
05/09/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Cisco IND (Industrial Network Director), versiones anteriores a 1.6.0 si tienen los servicios plug-and-play habilitados.
  • Cisco Webex Teams para Windows, versiones anteriores a 3.0.12427.0.
Descripción: 

Cisco ha detectado dos vulnerabilidades que podrían permitir a un atacante remoto, sin autenticación, acceder a información sensible o para ejecutar comandos arbitrarios en el sistema afectado.

Solución: 

Actualizar a Cisco IND 1.6.0 o posteriores, y a Cisco Webex Teams 3.0.12427.0 o posteriores, ambas disponibles desde el centro de descarga de Cisco.

Detalle: 
  • Las restricciones de acceso inapropiadas en la interfaz de administración web en el componente de los servicios de plug-and-play de Cisco IND, podrían permitir a un atacante remoto, no autenticado, acceder a información sensible en el dispositivo afectado. Se ha asignado el identificador CVE-2019-1976 para esta vulnerabilidad.
  • Las restricciones inapropiadas en la funcionalidad del software de registro de credenciales de Cisco Webex Teams, utilizada por la aplicación en sistemas operativos Windows, podrían permitir a un atacante remoto, no autenticado, ejecutar comandos arbitrarios en el sistema afectado. Se ha asignado el identificador CVE-2019-1939 para esta vulnerabilidad.

Encuesta valoración