Inicio / Content / Boletín de INCIBE-CERT del 13-05-2022

Boletín de INCIBE-CERT del 13-05-2022

Múltiples vulnerabilidades en CNCSoft de Delta Electronics

Fecha de publicación: 
13/05/2022
Importancia: 
4 - Alta
Recursos afectados: 

CNCSoft, todas las versiones anteriores a 1.01.32

Descripción: 

Un investigador anónimo, en colaboración con Trend Micro Zero Day Initiative, ha reportado 2 vulnerabilidades al CISA que podrían permitir a un atacante la ejecución arbitraria de código o la divulgación de información.

Solución: 

Actualizar a la versión  v1.01.32 o posterior.

Detalle: 
  • El saneado inadecuado de la entrada, mientras se procesa un archivo de proyecto específico, podría permitir a un atacante un desbordamiento de búfer basada en pila. Se ha asignado el identificador CVE-2022-1405 para esta vulnerabilidad.
  • El saneado inadecuado de la entrada, mientras se procesa un archivo de proyecto específico, podría permitir a un atacante una lectura fuera de límites. Se ha asignado el identificador CVE-2022-1404 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en InHand Networks InRouter302

Fecha de publicación: 
13/05/2022
Importancia: 
5 - Crítica
Recursos afectados: 

InHand Networks InRouter302, versiones 3.5.4 y 3.5.37.

Descripción: 

Cisco Talos ha publicado 19 vulnerabilidades, 13 de severidad crítica, 3 altas y 3 medias, que podrían permitir a un atacante la escalada de privilegios en el dispositivo.

Solución: 

Actualizar InHand Networks InRouter302 a la versión 3.5.45.

Detalle: 

Las vulnerabilidades críticas podrían permitir a un atacante la escalada de privilegios y son del tipo:

  • neutralización incorrecta de elementos especiales usados en un comando (inyección de comando),
  • neutralización incorrecta de elementos especiales usados en un comando del sistema operativo (inyección de comando del SO),
  • desbordamiento de búfer basado en pila (stack),
  • fichero temporal inseguro,
  • código de depuración sobrante,
  • validación incorrecta de entrada,
  • verificación inadecuada de la firma criptográfica.

Para las vulnerabilidades de severidad crítica se han asignado los identificadores: CVE-2022-26042, CVE-2022-26518, CVE-2022-26002, CVE-2022-26085, CVE-2022-26007, CVE-2022-21809, CVE-2022-25995, CVE-2022-26420, CVE-2022-26075, CVE-2022-26780, CVE-2022-26781, CVE-2022-26782 y CVE-2022-26510.

Para las vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2022-24910, CVE-2022-25172 y CVE-2022-21182.

Para las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2022-27172, CVE-2022-21238 y CVE-2022-26020.

Encuesta valoración

Múltiples vulnerabilidades en Cambium Networks cnMaestro

Fecha de publicación: 
13/05/2022
Importancia: 
5 - Crítica
Recursos afectados: 

cnMaestro On-Premises, versiones anteriores a:

  • 3.0.3-r32;
  • 2.4.2-r29;
  • 3.0.0-r34.
Descripción: 

Noam Moshe, investigador de Claroty, ha notificado 7 vulnerabilidades, 1 de severidad crítica, 3 altas y 3 medias, que podrían permitir a un atacante ejecutar código remoto, exfiltrar datos sensibles y tomar el control total de la infraestructura principal de la nube multi-tenant.

Solución: 

Cambium Networks recomienda a los usuarios afectados que actualicen a las versiones:

  • 3.0.3-r32;
  • 2.4.2-r29;
  • 3.0.0-r34.
Detalle: 
  • Un atacante no autenticado podría acceder al servidor de cnMaestro y ejecutar código arbitrario con los privilegios del servidor web, otorgando la posibilidad de anexar datos arbitrarios al comando del registrador. Se ha asignado el identificador CVE-2022-1357 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades no críticas se han asignado los identificadores CVE-2022-1358, CVE-2022-1361, CVE-2022-1360, CVE-2022-1362, CVE-2022-1359 y CVE-2022-1356.

Encuesta valoración

Múltiples vulnerabilidades en Inkscape

Fecha de publicación: 
13/05/2022
Importancia: 
4 - Alta
Recursos afectados: 

Inkscape, versión 0.91.

Descripción: 

Tran Van Khang – khangkito (VinCSS), en colaboración con ZDI de Trend Micro, ha reportado 3 vulnerabilidades: 1 de severidad alta y 2 bajas, cuya explotación podría permitir la divulgación de información no autorizada y la ejecución de código.

Solución: 

Actualizar Inkscape a versiones 1.0 o posteriores.

Detalle: 
  • Inkscape es vulnerable a una escritura fuera de límites, lo que podría permitir a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-42704 para esta vulnerabilidad alta.

Para la vulnerabilidad de severidad baja se han asignado los identificadores CVE-2021-42700 y CVE-2021-42702.

Encuesta valoración