Inicio / Content / Boletín de INCIBE-CERT del 14-10-2021

Boletín de INCIBE-CERT del 14-10-2021

Múltiples vulnerabilidades en productos Juniper

Fecha de publicación: 
14/10/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • Juniper Networks 128 Technology Session Smart Router, todas las versiones anteriores a la 4.5.11 y versiones de la 5.0 a la 5.0.1;
  • Juniper Networks Contrail Insights, todas las versiones anteriores a la 3.3.6.
Descripción: 

Juniper Networks ha informado de cuatro vulnerabilidades de severidad crítica, diez de severidad alta y tres de severidad media que podrían permitir a un atacante acceder a información, alterar los ajustes de configuración y servicios, ejecutar código arbitrario, comprometer el protocolo HTTP e inyección de comandos.

Solución: 

Actualizar:

  • 128T software a la versión 4.5.11, 5.1.0, 5.1.6 u otras posteriores, según corresponda;
  • Contrail Insights a la versión 3.3.6 u otra posterior
Detalle: 
  • Una vulnerabilidad de omisión de autenticación en el software de 128T podría permitir a un atacante visualizar archivos internos, cambiar ajustes de configuración, alterar servicios y ejecutar código arbitrario. Se ha asignado el identificador CVE-2021-31349 para esta vulnerabilidad crítica.
  • Vulnerabilidades en Node.js que afectan al protocolo HTTP podrían permitir a un atacante el contrabando de solicitudes HTTP (request smuggling) o la omisión de autenticación. Se han asignado los identificadores CVE-2019-15605 y CVE-2019-15606 para estas vulnerabilidades de severidad crítica.
  • El uso de direcciones de correo manipuladas podría permitir la inyección de comandos arbitrarios. Se ha asignado el identificador CVE-2020-7769 para esta vulnerabilidad de severidad crítica.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2018-7738, CVE-2019-18276, CVE-2019-9511, CVE-2019-9513, CVE-2019-9514, CVE-2020-10878, CVE-2020-7212, CVE-2020-7788, CVE-2020-8174 y CVE-2020-8265.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-20217-13716, CVE-2018-1000654 y CVE-2020-1971.

Encuesta valoración

Vulnerabilidad de obtención de permisos en TIBCO EBX

Fecha de publicación: 
14/10/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • TIBCO EBX, versiones 5.8.123 e inferiores;
  • TIBCO EBX, versiones 5.9.3, 5.9.4, 5.9.5, 5.9.6, 5.9.7, 5.9.8, 5.9.9, 5.9.10, 5.9.11, 5.9.12, 5.9.13 y 5.9.14;
  • TIBCO EBX, versiones 6.0.0 y 6.0.1;
  • TIBCO Product and Service Catalog powered by TIBCO EBX, versión 1.0.0;
  • El componente TIBCO EBX Web Server.
Descripción: 

TIBCO ha publicado una vulnerabilidad de severidad crítica que podría permitir a un atacante obtener acceso administrativo completo al sistema afectado.

Solución: 
  • TIBCO EBX versión 5.8.124 o posterior;
  • TIBCO EBX versión 5.9.15 o posterior;
  • TIBCO EBX versión 6.0.2 o posterior;
  • TIBCO Product and Service Catalog powered by TIBCO EBX versión 1.1.0 o posterior.
Detalle: 

El componente TIBCO EBX Web Server contiene una vulnerabilidad que, bajo ciertas condiciones específicas, podría permitir a un atacante introducir una contraseña distinta a la legítima y que sea aceptada como válida para obtener acceso administrativo completo al sistema afectado. Se ha asignado el identificador CVE-2021-35498 para esta vulnerabilidad.

Encuesta valoración