Inicio / Content / Boletín de INCIBE-CERT del 18-11-2021

Boletín de INCIBE-CERT del 18-11-2021

Múltiples vulnerabilidades en productos de HPE

Fecha de publicación: 
18/11/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Los siguientes productos que cuentan con versiones de Emulex HBA Manager anteriores a la 12.8.542.31 o versiones de One Command Manager anteriores a la 11.4.425.0:

  • Adaptadores HPE 8Gb PCIe Host Bus:
    • HPE 81E 8Gb 1-Port PCIe Fibre Channel Host Bus Adapter,
    • HPE 81E 8Gb 1-Port PCIe Fibre Channel Host Bus Adapter/S-Buy,
    • HPE 82E 8Gb 2-Port PCIe Fibre Channel Host Bus Adapter,
    • HPE 82E 8Gb 2-Port PCIe Fibre Channel Host Bus Adapter/S-Buy,
    • HPE StoreFabric 84E 4P 8Gb Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1100E 16Gb Host Bus:
    • HPE SN1100E 16Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE SN1100E 16Gb Dual Port Fibre Channel Host Bus Adapter,
    • HPE SN1100E 4-port 16Gb Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1100E 16Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1100E 16Gb Single Port Fibre Channel Host Bus Adapter/S-Buy,
    • HPE StoreFabric SN1100E 16Gb Dual Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1100E 16Gb Dual Port Fibre Channel Host Bus Adapter/S-Buy,
    • HPE StoreFabric SN1100E 4-port 16Gb Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1200E 16Gb Fibre Channel Host Bus:
    • HPE SN1200E 16Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE SN1200E 16Gb Dual Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1200E 16Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1200E 16Gb Dual Port Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1600E 32Gb Fibre Channel Host Bus:
    • HPE SN1600E 32Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE SN1600E 32Gb Dual Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1600E 32Gb Single Port Fibre Channel Host Bus Adapter,
    • HPE StoreFabric SN1600E 32Gb Dual Port Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1610E 32Gb Fibre Channel Host Bus:
    • HPE SN1610E 32Gb 1-port Fibre Channel Host Bus Adapter,
    • HPE SN1610E 32Gb 2-port Fibre Channel Host Bus Adapter.
  • Adaptadores HPE SN1700E 64Gb Fibre Channel Host Bus:
    • HPE SN1700E 64Gb 1-port Fibre Channel Host Bus Adapter,
    • HPE SN1700E 64Gb 2-port Fibre Channel Host Bus Adapter.
  • HPE LPe1205A 8Gb Fibre Channel Host Bus Adapter for BladeSystem c-Class,
  • HPE LPe1605 16Gb Fibre Channel Host Bus Adapter for BladeSystem c-Class,
  • HPE Synergy 3530C 16Gb Fibre Channel Host Bus Adapter,
  • HPE Synergy 5330C 32Gb Fibre Channel Host Bus Adapter.
Descripción: 

HPE ha publicado tres vulnerabilidades de severidad crítica y otra de severidad alta que podrían permitir a un atacante remoto descargar o modificar archivos arbitrarios, y causar un desbordamiento de búfer.

Solución: 

Actualizar:

  • Emulex HBA Manager a su versión 8.542.26 u otra posterior, y
  • OneCommand Manager a su versión 4.425.0 u otra posterior.

Otra solución podría ser cambiar el modo de operación de Emulex HBA Manager al modo ‘Strictly Local Management’.

Detalle: 
  • Una vulnerabilidad de tipo desbordamiento de búfer en el comando GetDumpFile podría permitir a un atacante remoto desarrollar varios tipos de ataques. Se ha asignado el identificador CVE-2021-42772 para esta vulnerabilidad crítica.
  • Vulnerabilidades de tipo desbordamiento de búfer en la función de descarga remota de firmware podrían permitir a un atacante, remoto y no autenticado, añadir o reemplazar un archivo arbitrario en el host remoto, entre otros tipos de ataques. Se han asignado los identificadores CVE-2021-42774 y CVE-2021-42775 para estas vulnerabilidades críticas.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2021-42773.

Encuesta valoración

Vulnerabilidades XSS en el core de Drupal

Fecha de publicación: 
18/11/2021
Importancia: 
3 - Media
Recursos afectados: 
  • Drupal versión 9.2;
  • Drupal versión 9.1;
  • Drupal versión 8.9.
Descripción: 

El líder técnico de CKSource Jacek Bogdański ha reportado dos vulnerabilidades por las que si Drupal está configurado para permitir el uso de la biblioteca CKEditor para la edición WYSIWYG, un atacante que pudiera crear o editar contenido (incluso sin acceso al propio CKEditor) podría ser capaz de explotar una o más vulnerabilidades de Cross-Site Scripting (XSS).

Solución: 
Detalle: 
  • Vulnerabilidad en los comentarios HTML que permite ejecutar código JavaScript. Se ha asignado el identificador CVE-2021-41165 para esta vulnerabilidad.
  • Vulnerabilidad del Filtro de Contenido Avanzado (ACF) que permite ejecutar código JavaScript utilizando HTML malformado. Se ha asignado el identificador CVE-2021-41164 para esta vulnerabilidad.

Encuesta valoración