Inicio / Content / Boletín de INCIBE-CERT del 18-06-2020

Boletín de INCIBE-CERT del 18-06-2020

Vulnerabilidades en el core de Drupal

Fecha de publicación: 
18/06/2020
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones anteriores a:

  • 9.0.1;
  • 8.9.1;
  • 8.8.8;
  • 7.72.
Descripción: 

Se han publicado una nueva actualización de seguridad que soluciona tres vulnerabilidades en el núcleo de Drupal.

Solución: 

Actualizar a las versiones 7.72, 8.8.8, 8.9.1 o 9.0.1.

Detalle: 
  • La API de formularios del core de Drupal no maneja adecuadamente ciertas entradas de formularios de peticiones de tipo cross-site, lo que puede conducir a otras vulnerabilidades. Se ha reservado el identificador CVE-2020-13663 para esta vulnerabilidad.
  • Una vulnerabilidad de ejecución de código remoto bajo ciertas circunstancias, en Drupal 8 y 9, podría permitir a un atacante engañar a un administrador para que visitara un sitio malicioso, lo que podría resultar en la creación de un directorio cuidadosamente nombrado en el sistema de archivos. Con este directorio en su lugar, un atacante podría intentar forzar una vulnerabilidad de ejecución de código remoto. Los servidores de Windows son los más afectados. Se ha reservado el identificador CVE-2020-13664 para esta vulnerabilidad.
  • Las solicitudes JSON:API PATCH pueden evitar la validación de ciertos campos. Por defecto, JSON:API funciona en modo de sólo lectura, lo que hace imposible explotar la vulnerabilidad. Sólo los sitios que tienen el read_only configurado como FALSE en jsonapi.settings son vulnerables. Se ha reservado el identificador CVE-2020-13665 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en productos de Cisco

Fecha de publicación: 
18/06/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • Cisco Webex Meetings, versiones:
    • WBS 39.5.25 y anteriores;
    • WBS 40.4.10 y anteriores;
    • WBS 40.6.0.
  • Cisco Webex Meetings Server, versiones 4.0MR3 y anteriores;
  • Cisco Webex Meetings Desktop App, versiones anteriores a 39.5.12;
  • Cisco Webex Meetings Desktop App para Mac, versiones anteriores a 39.5.11;
  • Cisco TelePresence Collaboration Endpoint Software y RoomOS Software, versiones anteriores a May Drop 2 2020;
  • Cisco Small Business, versiones de routers y firmware:
    • RV016 Multi-WAN VPN 4.2.3.10 y anteriores;
    • RV042 Dual WAN VPN 4.2.3.10 y anteriores;
    • RV042G Dual Gigabit WAN VPN 4.2.3.10 y anteriores;
    • RV082 Dual WAN VPN 4.2.3.10 y anteriores;
    • RV320 Dual Gigabit WAN VPN 1.5.1.05 y anteriores;
    • RV325 Dual Gigabit WAN VPN 1.5.1.05 y anteriores;
    • RV110W Wireless-N VPN Firewall 1.2.2.5 y anteriores;
    • RV130 VPN Router 1.0.3.54 y anteriores;
    • RV130W Wireless-N Multifunction VPN Router 1.0.3.54 y anteriores;
    • RV215W Wireless-N VPN Router 1.3.1.5 y anteriores.
Descripción: 

Cisco ha detectado 23 vulnerabilidades de severidad alta que afectan a múltiples productos.

Solución: 

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden descargarse desde el panel de descarga de Software de Cisco. Para información más detallada, consulte la sección Referencias.

Detalle: 

Las vulnerabilidades detectadas podrían permitir a un atacante remoto realizar las siguientes acciones:

  • obtener acceso no autorizado a un sitio Webex vulnerable,
  • ejecutar programas en el sistema de usuario final,
  • ejecutar código arbitrario,
  • modificar el sistema de archivos para causar una denegación de servicio (DoS) u obtener privilegios de root en el sistema de archivos.

Se han asignado los siguientes identificadores identificadores: CVE-2020-3361, CVE-2020-3263, CVE-2020-3342, CVE-2020-3336, CVE-2020-3286, CVE-2020-3287, CVE-2020-3288, CVE-2020-3289, CVE-2020-3290, CVE-2020-3291, CVE-2020-3292, CVE-2020-3293, CVE-2020-3294, CVE-2020-3295, CVE-2020-3296, CVE-2020-3268, CVE-2020-3269, CVE-2020-3274, CVE-2020-3275, CVE-2020-3276, CVE-2020-3277, CVE-2020-3278 y CVE-2020-3279.

Encuesta valoración