Inicio / Content / Boletín de INCIBE-CERT del 06-05-2020

Boletín de INCIBE-CERT del 06-05-2020

Múltiples vulnerabilidades en ShareFile storage zones Controller de Citrix

Fecha de publicación: 
06/05/2020
Importancia: 
5 - Crítica
Recursos afectados: 

ShareFile storage zones Controller, versión 5.9.0 y anteriores.

Descripción: 

El Danske Bank Red-Team, en colaboración con Citrix, ha detectado 3 vulnerabilidades de severidad crítica. Un atacante, no autenticado, podría divulgar información.

Solución: 

Actualizar Storage Zones Controller a la versión:

  • 5.10.0,
  • 5.9.1,
  • 5.8.1,
  • 5.7.1,
  • 5.6.1,
  • 5.5.1.
Detalle: 

Las vulnerabilidades detectadas podrían permitir a un atacante, no autenticado, comprometer los controladores de zonas de almacenamiento, pudiendo de este modo, acceder a la información que contenga el usuario en ShareFile. Se han reservado los identificadores CVE-2020-7473, CVE-2020-8982 y CVE-2020-8983, para estas vulnerabilidades.

Encuesta valoración

Múltiples vulnerabilidades en Salt de SaltStack

Fecha de publicación: 
06/05/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • Salt, versión 3000.1 y anteriores;
  • Salt, versión 2019.2.3 y anteriores.
Descripción: 

Investigadores de F-Secure han reportado a Salt dos vulnerabilidades de severidad crítica que afectan a su Framework Salt. Un atacante, remoto, podría evadir los controles de autenticación y ejecutar código arbitrario con privilegios de root en el sistema.

Solución: 
Detalle: 
  • La clase ClearFuncs, del proceso Salt-master, no valida adecuadamente las llamadas a métodos. Un atacante remoto podría acceder algunos métodos evadiendo la autenticación. Se ha asignado el identificador CVE-2020-11651 para esta vulnerabilidad.
  • La clase ClearFuncs, del proceso Salt-master, permite acceder a algunos métodos que sanean inapropiadamente las rutas. Un atacante remoto, autenticado, podría acceder a directorios. Se ha asignado el identificador CVE-2020-11652 para esta vulnerabilidad.

Encuesta valoración