Inicio / Content / Boletín de INCIBE-CERT del 18-09-2020

Boletín de INCIBE-CERT del 18-09-2020

Múltiples vulnerabilidades en productos Netgear

Fecha de publicación: 
18/09/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • CBR40, versiones de firmware anteriores a la 2.5.0.10;
  • RBK752, versiones de firmware anteriores a la 3.2.15.25;
  • RBR750, versiones de firmware anteriores a la 3.2.15.25;
  • RBS750, versiones de firmware anteriores a la 3.2.15.25;
  • RBK852, versiones de firmware anteriores a la 3.2.16.6;
  • RBR850, versiones de firmware anteriores a la 3.2.16.6;
  • RBS850, versiones de firmware anteriores a la 3.2.16.6;
  • D6200, versiones de firmware anteriores a la 1.1.00.40;
  • D7000, versiones de firmware anteriores a la 1.0.1.78;
  • R6020, versiones de firmware anteriores a la 1.0.0.42;
  • R6080, versiones de firmware anteriores a la 1.0.0.42;
  • R6050, versiones de firmware anteriores a la 1.0.1.26;
  • JR6150, versiones de firmware anteriores a la 1.0.1.26;
  • R6120, versiones de firmware anteriores a la 1.0.0.66;
  • R6220, versiones de firmware anteriores a la 1.1.0.100;
  • R6260, versiones de firmware anteriores a la 1.1.0.66;
  • R6700v2, versiones de firmware anteriores a la 1.2.0.62;
  • R6800, versiones de firmware anteriores a la 1.2.0.62;
  • R6900v2, versiones de firmware anteriores a la 1.2.0.62;
  • AC2100, versiones de firmware anteriores a la 1.2.0.62;
  • AC2400, versiones de firmware anteriores a la 1.2.0.62;
  • AC2600, versiones de firmware anteriores a la 1.2.0.62;
  • R7450, versiones de firmware anteriores a la 1.2.0.62;
  • WNR2020, versiones de firmware anteriores a la 1.1.0.62;
  • JGS516PE, versiones de firmware anteriores a la 2.6.0.43;
  • RAX40, versiones de firmware anteriores a la 1.0.3.80.
Descripción: 

Netgear ha publicado múltiples vulnerabilidades de severidad crítica que afectan a algunos de sus productos.

Solución: 

Actualizar a la última versión de firmware disponible, para ello:

  • Visite la página de soporte de NETGEAR.
  • Introduzca el número de su modelo en el cuadro de búsqueda y selecciónelo en el menú desplegable.
  • También puede seleccionar una categoría de producto concreto para buscar su modelo.
  • Haga clic en descargas.
  • En versiones actuales, seleccione la descarga cuyo título comience con versión del firmware.
  • Haga clic en descargar.
  • Siga las instrucciones del manual de usuario, las notas de la versión del firmware o la página de asistencia técnica del producto para instalar el nuevo firmware.
Detalle: 

Los tipos de vulnerabilidades se corresponden con:

  • 3 vulnerabilidades de omisión de autenticación;
  • 1 vulnerabilidad de falta de control de acceso de nivel de función;
  • 2 vulnerabilidades de inyección de comandos previa a la autenticación;
  • 6 vulnerabilidades de divulgación de las credenciales de administrador;
  • 2 vulnerabilidades de divulgación de información confidencial;
  • 1 vulnerabilidad de configuración inadecuada.

Encuesta valoración

Múltiples vulnerabilidades en HPE PPU UCS Meter

Fecha de publicación: 
18/09/2020
Importancia: 
5 - Crítica
Recursos afectados: 

HPE Pay Per Use (PPU) Utility Computing Service (UCS) Meter, versión 1.9.

Descripción: 

El investigador conocido como "rgod", en colaboración con Trend Micro de ZDI, ha reportado 3 vulnerabilidades, 1 de severidad crítica y 2 altas, de tipo ejecución remota de código (RCE) y divulgación de información.

Solución: 

HPE ha discontinuado el programa de desarrollo del producto afectado y la descarga del mismo ha sido eliminada de My HPE Software Center, por lo que se recomienda borrar este producto al quedar obsoleto.

Dada la naturaleza de las vulnerabilidades, la única estrategia de mitigación consiste en restringir la interacción con la aplicación.

Detalle: 
  • Un atacante remoto, no autenticado, podría ejecutar código arbitrario, en el contexto del sistema, en instalaciones afectadas de HPE PPU UCS Meter, debido a una falta de validación adecuada en la clase ReceiverServlet. Se ha asignado el identificador CVE-2020-24626 para esta vulnerabilidad.
  • Un atacante remoto, no autenticado, podría divulgar información, en el contexto del sistema, en instalaciones afectadas de HPE PPU UCS Meter, debido a una falta de validación adecuada en la clase DownloadServlet. Se ha asignado el identificador CVE-2020-24624 para esta vulnerabilidad.
  • Un atacante remoto, no autenticado, podría divulgar información, en el contexto del sistema, en instalaciones afectadas de HPE PPU UCS Meter, debido a una falta de validación adecuada en la clase ReceiverServlet. Se ha asignado el identificador CVE-2020-24625 para esta vulnerabilidad.

Encuesta valoración

Etiquetas: