Inicio / Content / Boletín de INCIBE-CERT del 13-02-2019

Boletín de INCIBE-CERT del 13-02-2019

Actualización de seguridad de Joomla! 3.9.3

Fecha de publicación: 
13/02/2019
Importancia: 
2 - Baja
Recursos afectados: 
  • Joomla! CMS, versiones desde la 1.0.0 hasta la 3.9.2
Descripción: 

Joomla! ha publicado una nueva versión que soluciona seis vulnerabilidades en el núcleo, todas ellas de criticidad baja.

Solución: 
  • Actualizar a la versión 3.9.3
Detalle: 
  • El filtrado inadecuado de los campos URL en varios componentes del core podrían permitir ataques XSS. Se ha asignado el identificador CVE-2019-7743 para esta vulnerabilidad.
  • Una serie de configuraciones específicas de servidor web en combinación con tipos de archivos específicos y "mime-type sniffing" en el lado del navegador, podría permitir ataques XSS. Se ha asignado el identificador CVE-2019-7742 para esta vulnerabilidad.
  • El filtro de texto "No Filtering" sobrescribe la configuración secundaria en "Global configuration". Este es un comportamiento intencionado que podía resultar inesperado para el usuario. Se ha asignado el identificador CVE-2019-7739 para esta vulnerabilidad.
  • Las comprobaciones inadecuadas en los ajustes del "helpurl" de "Global configuration" podrían permitir un XSS persistente. Se ha asignado el identificador CVE-2019-7741 para esta vulnerabilidad.
  • Un manejo inadecuado de los parámetros en el código JS podría permitir ataques de XSS. Se ha asignado el identificador CVE-2019-7740 para esta vulnerabilidad.
  • El envoltorio de flujos phar:// se puede utilizar para llevar a cabo ataques de inyección de objeción. Se ha asignado el identificador CVE-2019-7743 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en productos de Intel

Fecha de publicación: 
13/02/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • Componente de servidor de software Intel Unite® Solution, versiones desde 3.2 hasta 3.3
  • Intel(R) Data Center Manager SDK, versiones anteriores a 5.0.2
  • Intel® USB 3.0 eXtensible Host Controller Driver para Microsoft Windows® 7, versiones anteriores a 5.0.4.43v2
  • OpenVINO™ 2018 para Linux, versiones anteriores a R4
  • Intel® PROSet Wireless Driver, versiones anteriores (e incluyendo) 20.50
Descripción: 

Intel ha publicado 5 avisos en su centro de seguridad de productos que contienen 15 vulnerabilidades, repartidas en una de severidad crítica, 3 de severidad alta, 7 de severidad media y 4 de severidad baja.

Solución: 
Detalle: 

Las vulnerabilidades de severidad crítica y alta son las siguientes:

  • Una omisión de autenticación en el producto Intel Unite(R) permitiría a un usuario no autenticado habilitar la escalada de privilegios al portal administrativo a través del acceso a la red. Se ha reservado el identificador CVE-2019-0101 para esta vulnerabilidad.
  • Una autenticación de sesión insuficiente en el servidor web para el SDK de Intel(R) Data Center Manager permitiría a un usuario no autenticado habilitar la escalada de privilegios a través del acceso a la red. Se ha reservado el identificador CVE-2019-0102 para esta vulnerabilidad.
  • Un insuficiente aviso al usuario en la rutina de instalación del SDK de Intel(R) Data Center Manager permitiría a un usuario privilegiado habilitar la escalada de privilegios a través del acceso local. Se ha reservado el identificador CVE-2019-0107 para esta vulnerabilidad.
  • Una gestión insuficiente de las claves del SDK de Intel(R) Data Center Manager permitiría que un usuario autenticado habilite la divulgación de información a través del acceso local. Se ha reservado el identificador CVE-2019-0110 para esta vulnerabilidad.

Para el resto de vulnerabilidades, se han reservado los identificadores CVE-2019-0103, CVE-2019-0104, CVE-2019-0105, CVE-2019-0106, CVE-2019-0108, CVE-2019-0109, CVE-2019-0111, CVE-2019-0112, CVE-2018-3700, CVE-2019-0127 y CVE-2018-12159.

  • Desde ICS-CERT informan que podría haber dispositivos SCI afectados que utilicen Intel Data Center Manager SDK, para más información puede consultarse el aviso de seguridad publicado.

Encuesta valoración

Vulnerabilidad de credenciales por defecto en Network Assurance Engine de Cisco

Fecha de publicación: 
13/02/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • Cisco Network Assurance Engine versión 3.0 (1)
Descripción: 

Cisco ha publicado una vulnerabilidad en la interfaz web de administración de Cisco Network Assurance Engine (NAE), que permitiría a un atacante local no autenticado obtener acceso no autorizado o provocar una condición de denegación de servicio (DoS) en el servidor.

Solución: 
  • Actualizar a la versión 3.0 (1a) y cambiar la contraseña de administrador predeterminada desde la CLI mediante el comando passwd.
Detalle: 
  • La vulnerabilidad se debe a un fallo en el sistema de gestión de contraseñas de NAE, por el que un atacante podría autenticarse con la contraseña de administrador predeterminada a través de la CLI de un servidor afectado. La explotación exitosa podría permitir al atacante ver información sensible o desactivar el servidor, causando una condición DoS. Se ha asignado el identificador CVE-2019-1688 para esta vulnerabilidad.

Encuesta valoración

Boletín de seguridad de Microsoft de febrero de 2019

Fecha de publicación: 
13/02/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • Adobe Flash Player
  • Internet Explorer
  • Microsoft Edge
  • Microsoft Windows
  • Microsoft Office, Microsoft Office Services y Web Apps
  • ChakraCore
  • .NET Framework
  • Microsoft Exchange Server
  • Microsoft Visual Studio
  • Azure IoT SDK
  • Microsoft Dynamics
  • Team Foundation Server
  • Visual Studio Code
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft este mes consta de 73 vulnerabilidades, 20 clasificadas como críticas y 53 como importantes, siendo el resto de las publicadas de severidad media o baja.

Solución: 
Detalle: 

El tipo de vulnerabilidades publicadas se corresponde con las siguientes:

  • Ejecución remota de código.
  • Revelación de información.
  • Escalado de privilegios.
  • Suplantación.
  • Evasión de seguridad.

Encuesta valoración