Inicio / Content / Boletín de INCIBE-CERT del 13-12-2018

Boletín de INCIBE-CERT del 13-12-2018

Múltiples vulnerabilidades en phpMyAdmin

Fecha de publicación: 
13/12/2018
Importancia: 
4 - Alta
Recursos afectados: 

Las siguientes versiones de phpMyAdmin se han visto afectadas:

  • Desde 4.0 hasta 4.8.3
  • Desde 4.7.0 hasta 4.7.6 y desde 4.8.0 hasta 4.8.3
Descripción: 

El equipo de phpMyAdmin ha publicado la versión 4.8.4, que contiene varias correcciones de seguridad importantes.

Solución: 
  • Se recomienda actualizar a la versión 4.8.4 o superior de phpMyAdmin.
Detalle: 
  • Las versiones desde 4.0 hasta 4.8.3 incluyen un error de inclusión de archivos locales (Local File Inclusion, LFI) que podría permitir la lectura de archivos locales del servidor a un atacante remoto. Se ha asignado el identificador CVE-2018-19968 para esta vulnerabilidad. Además, para estas mismas versiones, se ha identificado otra vulnerabilidad de Cross-site Scripting (XSS) con la que un atacante puede inyectar código malicioso a través de un nombre de tabla/base de datos especialmente diseñado. Se ha asignado el identificador CVE-2018-19970 para esta vulnerabilidad.
  • Para las versiones desde 4.7.0 hasta 4.7.6 y desde 4.8.0 hasta 4.8.3 se ha encontrado un fallo que podría permitir a un atacante realizar operaciones SQL malintencionadas mediante un ataque Cross-site Request Forgery (CSRF). Se ha asignado el identificador CVE-2018-19969 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en WordPress

Fecha de publicación: 
13/12/2018
Importancia: 
4 - Alta
Recursos afectados: 
  • WordPress versiones 5.0 y anteriores.
Descripción: 

WordPress ha publicado una actualización de seguridad para corregir 7 vulnerabilidades descubiertas por diversos investigadores.

Solución: 
Detalle: 

WordPress ha publicado un total de 7 vulnerabilidades del tipo:

  • Alteración de metadatos para eliminar archivos sin autorización.
  • Creación de publicaciones no autorizadas con entrada específicamente diseñada.
  • Inyección de objetos en PHP mediante la modificación de metadatos.
  • Cross-site scripting en la edición de comentarios con privilegios elevados.
  • Cross-site scripting en entradas URL especialmente diseñadas.
  • Exposición de direcciones de email, y en casos raros contraseñas, generadas por defecto.
  • Cross-site scripting en host alojados en Apache.

Encuesta valoración

Vulnerabilidad en Operational Decision Manager de IBM

Fecha de publicación: 
13/12/2018
Importancia: 
4 - Alta
Recursos afectados: 
  • IBM Operational Decision Manager versiones 8.6, 8.7, 8.8 y 8.9
Descripción: 

IBM ha publicado una vulnerabilidad en su producto Operational Decision Manager que podría permitir a un atacante remoto exponer información sensible o consumir recursos de la memoria.

Solución: 

Seleccione la siguiente solución provisional para actualizar la instalación de ODM en función de la versión de su producto:

Interim fix para APAR RS03231 y RS03192 disponibles desde IBM Fix Central:

  • IBM Operational Decision Manager v8.6:
    • 8.6.0.3-WS-ODM_DS-IF035
  • IBM Operational Decision Manager v8.7:
    • 8.7.1.2-WS-ODM_DS-IF079
  • IBM Operational Decision Manager v8.8:
    • 8.8.1.3-WS-ODM_DS-IF090
  • IBM Operational Decision Manager v8.9:
    • 8.9.2.1-WS-ODM_DS-IF004
Detalle: 
  • IBM Operational Decision Manager es vulnerable a un ataque de XML External Entity Injection (XXE) al procesar datos XML. Un atacante remoto podría explotar esta vulnerabilidad para exponer información sensible o consumir recursos de la memoria. Se ha reservado el identificador CVE-2018-1821 para esta vulnerabilidad.

Encuesta valoración