Inicio / Content / Boletín de INCIBE-CERT del 14-03-2022

Boletín de INCIBE-CERT del 14-03-2022

Actualización de seguridad 5.9.2 para WordPress

Fecha de publicación: 
14/03/2022
Importancia: 
4 - Alta
Recursos afectados: 

WordPress, versiones anteriores a 5.9.2.

Descripción: 

Se ha publicado la última versión de WordPress, que contiene 3 correcciones de seguridad.

Solución: 

Actualizar a la versión 5.9.2 desde WordPress.org o desde el panel de control (Updates > Update Now).

Detalle: 
  • vulnerabilidad en una  contaminación de prototipos en una dependencia de jQuery;
  • Cross-Site Scripting (XSS) almacenado.

Encuesta valoración

[Actualización 14/03/2022] Actualizaciones de seguridad de Microsoft de marzo de 2022

Fecha de publicación: 
09/03/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • .NET and Visual Studio,
  • Azure Site Recovery,
  • Microsoft Defender for Endpoint,
  • Microsoft Defender for IoT,
  • Microsoft Edge (Chromium-based),
  • Microsoft Exchange Server,
  • Microsoft Intune,
  • Microsoft Office Visio,
  • Microsoft Office Word,
  • Microsoft Windows ALPC,
  • Microsoft Windows Codecs Library,
  • Paint 3D,
  • Role: Windows Hyper-V,
  • Skype Extension for Chrome,
  • Tablet Windows User Interface,
  • Visual Studio Code,
  • Windows Ancillary Function Driver for WinSock,
  • Windows CD-ROM Driver,
  • Windows Cloud Files Mini Filter Driver,
  • Windows COM,
  • Windows Common Log File System Driver,
  • Windows DWM Core Library,
  • Windows Event Tracing,
  • Windows Fastfat Driver,
  • Windows Fax and Scan Service,
  • Windows HTML Platform,
  • Windows Installer,
  • Windows Kernel,
  • Windows Media,
  • Windows PDEV,
  • Windows Point-to-Point Tunneling Protocol,
  • Windows Print Spooler Components,
  • Windows Remote Desktop,
  • Windows Security Support Provider Interface,
  • Windows SMB Server,
  • Windows Update Stack,
  • XBox.
Descripción: 

La publicación de actualizaciones de seguridad de Microsoft, correspondiente al mes de marzo, y que incluye toda la información comprendida entre el día 09/02/2022 y el día 08/03/2022 con la publicación del boletín de este mes, que consta de 101 vulnerabilidades (con CVE asignado), todos ellos calificados como: 3 son de severidad crítica, 68 importantes, 1 baja y 29 sin severidad asignada.

Solución: 

Instalar la actualización de seguridad correspondiente. En la página de Microsoft se informa de los distintos métodos para llevar a cabo dichas actualizaciones.

Detalle: 

Las vulnerabilidades publicadas se corresponden con los siguientes tipos:

  • denegación de servicio,
  • escalada de privilegios,
  • divulgación de información,
  • ejecución remota de código,
  • elusión de medidas de seguridad,
  • suplantación de identidad (spoofing),
  • modificación de los parámetros que se envían al servidor web como puntos de entrada de la aplicación (tampering).

Encuesta valoración

Verificación insuficiente de la autenticidad de los datos en Syltek

Fecha de publicación: 
14/03/2022
Importancia: 
4 - Alta
Recursos afectados: 

Syltek, versiones anteriores  a la 10.22.00.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en la aplicación Syltek, con el código interno INCIBE-2022-0648, que ha sido descubierta por Enrique Benvenutto Navarro.

A esta vulnerabilidad se le ha asignado el código CVE-2021-4031. Se ha calculado una puntuación base CVSS v3.1 de 7,5, siendo el cálculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N.

Solución: 

Esta vulnerabilidad ha sido resuelta por el equipo de Playtomic, en la versión 10.22.00, publicada el 02/12/2021.

Detalle: 

Aplicación Syltek, versiones anteriores a la 10.22.00, no valida correctamente si el ID del producto tiene asociado un método válido de pago.

Esto podría permitir a un atacante omitir el sistema de pagos mediante una petición especialmente diseñada, marcando elementos como pagados sin ninguna verificación.

CWE-345: verificación insuficiente de la autenticidad de los datos.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración