Inicio / Content / Boletín de INCIBE-CERT del 20-05-2019

Boletín de INCIBE-CERT del 20-05-2019

Múltiples vulnerabilidades en Integrated Lights-Out 4 y 5 de HPE

Fecha de publicación: 
20/05/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • HPE Integrated Lights-Out 5 (iLO 5) para servidores HPE Gen10, versiones 1.39 y anteriores,
  • HPE Integrated Lights-Out 4 (iLO 4), versiones 2.61b y anteriores.
Descripción: 

HP ha publicado múltiples vulnerabilidades en sus productos Integrated Lights-Out (iLO) que podrían permitir a un atacante remoto realizar Cross-Site Scripting (XSS), inyección de datos no autorizados y desbordamiento del búfer.

Solución: 
  • Para iLO 4, actualizar a la versión de firmware 2.70 o posterior.
  • Para iLO 5, actualizar a la versión de firmware 1.40a o posterior.
Detalle: 
  • Las vulnerabilidades en HPE Integrated Lights-Out 4 (iLO 4) para los servidores Gen9 y HPE Integrated Lights-Out 5 (iLO 5) para los servidores Gen10, podrían permitir a un atacante remoto llevar a cabo: ataques Cross-Site Scripting (XSS), inyección de datos no autorizados y desbordamiento del búfer. Se han reservado los identificadores CVE-2019-11982, CVE-2019-11983, y se ha asignado CVE-2018-7117 para estas vulnerabilidades.

Encuesta valoración

Múltiples vulnerabilidades en Moodle

Fecha de publicación: 
20/05/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • 3.6 hasta 3.6.3, 3.5 hasta 3.5.5, 3.4 hasta 3.4.8, 3.1 hasta 3.1.17 y versiones anteriores no soportadas.
Descripción: 

Se han descubierto 3 vulnerabilidades en la plataforma Moodle, una de criticidad alta y 2 de criticidad baja.

Solución: 
  • Actualizar a las versiones 3.7, 3.6.4, 3.5.6, 3.4.9 y 3.1.18.
Detalle: 
  • Un servicio web de mensajería, recupera mensajes que no pertenecen a las conversaciones del usuario y, haciendo uso de la vulnerabilidad de criticidad alta, todas las conversaciones podían ser vistas por el usuario. Se ha reservado el identificador CVE-2019-10132 para esta vulnerabilidad.

Para el resto de vulnerabilidades con criticidad baja, se han reservado los identificadores CVE-2019-10133 y CVE-2019-10134.

Encuesta valoración