Inicio / Content / Boletín de INCIBE-CERT del 14-03-2022

Boletín de INCIBE-CERT del 14-03-2022

Actualización de seguridad 5.9.2 para WordPress

Fecha de publicación: 
14/03/2022
Importancia: 
4 - Alta
Recursos afectados: 

WordPress, versiones anteriores a 5.9.2.

Descripción: 

Se ha publicado la última versión de WordPress, que contiene 3 correcciones de seguridad.

Solución: 

Actualizar a la versión 5.9.2 desde WordPress.org o desde el panel de control (Updates > Update Now).

Detalle: 
  • vulnerabilidad en una  contaminación de prototipos en una dependencia de jQuery;
  • Cross-Site Scripting (XSS) almacenado.

Encuesta valoración

Referencias: 
WordPress 5.9.2 Security and Maintenance Release
Etiquetas: 
Actualización
CMS
Vulnerabilidad

[Actualización 14/03/2022] Actualizaciones de seguridad de Microsoft de marzo de 2022

Fecha de publicación: 
09/03/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • .NET and Visual Studio,
  • Azure Site Recovery,
  • Microsoft Defender for Endpoint,
  • Microsoft Defender for IoT,
  • Microsoft Edge (Chromium-based),
  • Microsoft Exchange Server,
  • Microsoft Intune,
  • Microsoft Office Visio,
  • Microsoft Office Word,
  • Microsoft Windows ALPC,
  • Microsoft Windows Codecs Library,
  • Paint 3D,
  • Role: Windows Hyper-V,
  • Skype Extension for Chrome,
  • Tablet Windows User Interface,
  • Visual Studio Code,
  • Windows Ancillary Function Driver for WinSock,
  • Windows CD-ROM Driver,
  • Windows Cloud Files Mini Filter Driver,
  • Windows COM,
  • Windows Common Log File System Driver,
  • Windows DWM Core Library,
  • Windows Event Tracing,
  • Windows Fastfat Driver,
  • Windows Fax and Scan Service,
  • Windows HTML Platform,
  • Windows Installer,
  • Windows Kernel,
  • Windows Media,
  • Windows PDEV,
  • Windows Point-to-Point Tunneling Protocol,
  • Windows Print Spooler Components,
  • Windows Remote Desktop,
  • Windows Security Support Provider Interface,
  • Windows SMB Server,
  • Windows Update Stack,
  • XBox.
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de marzo, y que incluye toda la información comprendida entre el día 09/02/2022 y el día 08/03/2022 con la publicación del boletín de este mes, que consta de 101 vulnerabilidades (con CVE asignado), todos ellos calificados como: 3 son de severidad crítica, 68 importantes, 1 baja y 29 sin severidad asignada.

Solución: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio,
  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • elusión de medidas de seguridad,
  • suplantación de identidad (spoofing),
  • modificación de los parámetros que se envían al servidor web como puntos de entrada de la aplicación (tampering).

Encuesta valoración

Referencias: 
Security Update Guide
March 2022 Security Updates
Security update deployment information: March 8, 2022 (KB5011746)
[Actualización 14/03/2022] Critical Vulnerability in Microsoft Exchange Server
Etiquetas: 
Actualización
Comunicaciones
IoT
Microsoft
Navegador
Vulnerabilidad
Windows

Verificación insuficiente de la autenticidad de los datos en Syltek

Fecha de publicación: 
14/03/2022
Importancia: 
4 - Alta
Recursos afectados: 

Syltek, versiones anteriores  a la 10.22.00.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en la aplicación Syltek, con el código interno INCIBE-2022-0648, que ha sido descubierta por Enrique Benvenutto Navarro.

A esta vulnerabilidad se le ha asignado el código CVE-2021-4031. Se ha calculado una puntuación base CVSS v3.1 de 7,5, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N.

Solución: 

Esta vulnerabilidad ha sido resuelta por el equipo de Playtomic, en la versión 10.22.00, publicada el 02/12/2021.

Detalle: 

Aplicación Syltek, versiones anteriores a la 10.22.00, no valida correctamente si el ID del producto tiene asociado un método válido de pago.

Esto podría permitir a un atacante omitir el sistema de pagos mediante una petición especialmente diseñada, marcando elementos como pagados sin ninguna verificación.

CWE-345: verificación insuficiente de la autenticidad de los datos.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración

Referencias: 
CVE-2021-4031 - Syltek Insufficient Verification of Data Authenticity
Etiquetas: 
0day
Actualización
CNA
Vulnerabilidad