Inicio / Content / Boletín de INCIBE-CERT del 20-01-2022

Boletín de INCIBE-CERT del 20-01-2022

Múltiples vulnerabilidades en el core de Drupal

Fecha de publicación: 
20/01/2022
Importancia: 
3 - Media
Recursos afectados: 

Drupal, versión 9.3, 9.2 y 7.

Las versiones de Drupal 8 y de Drupal 9, anteriores a la 9.2.x, se encuentran al final de su vida útil y ya no reciben cobertura de seguridad.

Descripción: 

Se han publicado cinco vulnerabilidades de severidad media que podrían afectar al core de Drupal.

Solución: 

Actualizar:

  • Drupal 9.3, a la versión 9.3.3;
  • Drupal 9.2, a la versión 9.2.11;
  • Drupal 7, a la versión 7.86.
Detalle: 

Una librería de terceros utilizada por el core de drupal:

  • acepta el valor de varias opciones *Text del widget Datepicker, desde fuentes no confiables, lo que podría permitir a un atacante la ejecución de código no confiable. Se ha asignado el identificador CVE-2021-41183 para esta vulnerabilidad.
  • acepta el valor de la opción altField del widget Datepicker, desde fuentes no confiables, lo que podría permitir a un atacante la ejecución de código no confiable. Se ha asignado el identificador CVE-2021-41182 para esta vulnerabilidad.

Además, esta actualización de seguridad incluye correcciones para las siguientes vulnerabilidades no corregidas en versiones anteriores, provocadas por:

  • una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en jQuery UI, que podría permitir a un atacante remoto inyectar secuencias de comandos web o HTML arbitrarias a través del parámetro closeText de la función dialog. Se ha asignado el identificador CVE-2016-7103 para esta vulnerabilidad.
  • una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) en jquery.ui.dialog.js, en el widget Dialog en jQuery UI, que podría permitir a los atacantes remotos inyectar secuencias de comandos web o HTML arbitrarios a través de la opción title. Se ha asignado el identificador CVE-2010-5312 para esta vulnerabilidad.

Encuesta valoración

Omisión de autentificación en ManageEngine Desktop Central

Fecha de publicación: 
20/01/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • Desktop Central,
  • Desktop Central MSP.
Descripción: 

Se ha publicado una vulnerabilidad de evasión de autenticación que podría permitir a un atacante remoto realizar acciones no autorizadas en el servidor.

Solución: 

Actualizar los productos afectados a la build 10.1.2137.9, para ello:

  • acceder a la consola de Desktop Central y hacer clic en el número actual de build en la parte superior derecha de la pantalla,
  • buscar la última build disponible para la versión. Descargar el PPM y actualizar.
Detalle: 

Una vulnerabilidad de omisión de autenticación podría permitir a un atacante leer datos no autorizados o escribir un archivo zip. arbitrario en el servidor de Desktop Central o Desktop Central MSP. Se ha asignado el identificador CVE-2021-44757 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en Cisco Redundancy Configuration Manager

Fecha de publicación: 
20/01/2022
Importancia: 
5 - Crítica
Recursos afectados: 

Cisco RCM para Cisco StarOS Software.

Descripción: 

Cisco ha publicado 2 vulnerabilidades de severidad crítica por las que un atacante remoto no autenticado podría revelar información sensible o ejecutar comandos arbitrarios como usuario root.

Solución: 
Detalle: 
  • El modo de depuración está incorrectamente habilitado para determinados servicios, lo que podría permitir a un atacante conectarse al dispositivo y navegar hasta el servicio con el modo de depuración activado. Se ha asignado el identificador CVE-2022-20649 para esta vulnerabilidad.
  • Un servicio de depuración que escucha y acepta incorrectamente las conexiones entrantes podría permitir a un atacante conectado al puerto de depuración ejecutar comandos de depuración. Se ha asignado el identificador CVE-2022-20649 para esta vulnerabilidad. CVE-2022-20648

Encuesta valoración