Inicio / Content / Boletín de INCIBE-CERT del 08-07-2021

Boletín de INCIBE-CERT del 08-07-2021

Lectura arbitraria en varios productos de GitLab

Fecha de publicación: 
08/07/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • GitLab Community Edition (CE), todas las versiones desde la 13.11, 13.12 y 14.0;
  • GitLab Enterprise Edition (EE), todas las versiones desde la 13.11, 13.12 y 14.0.
Descripción: 

El investigador, vakzz, ha reportado al programa HackerOne bug bounty de GitLab una vulnerabilidad de severidad crítica, que podría permitir a un atacante leer archivos de forma arbitraria en el servidor.

Solución: 

Actualizar los productos afectados a la versión 14.0.4, 13.12.8 o 13.11.7, según corresponda, a través de la web del fabricante.

Detalle: 

Una vulnerabilidad de lectura arbitraria de archivos debida a una característica de diseño podría permitir a un atacante leer archivos arbitrarios del servidor.

Encuesta valoración

Inyección SQL en FortiMail

Fecha de publicación: 
08/07/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • FortiMail versiones:
    • 6.4.3 y anteriores;
    • 6.2.6 y anteriores;
    • 6.0.10 y anteriores;
    • 5.4.12 y anteriores.
Descripción: 

Giuseppe Cocomazzi, del Fortinet PSIRT Team, ha reportado múltiples vulnerabilidades críticas que podrían permitir a un atacante la ejecución de código.

Solución: 
  • Actualizar a las versiones:
    • 6.4.4 o superior;
    • 6.2.7 o superior;
    • 6.0.11 o superior;
    • Pendiente de confirmación la actualización 5.4.
Detalle: 

Múltiples vulnerabilidades de neutralización inadecuada de elementos especiales de comandos SQL podrían permitir a un atacante no autenticado ejecutar código o comandos no autorizados, a través de solicitudes HTTP específicamente diseñadas. Se ha asignado el identificador CVE-2021-24007 para esta vulnerabilidad.

Encuesta valoración