Boletín de INCIBE-CERT del 20-12-2019

Vulnerabilidad de XSS en Unisphere para PowerMax de Dell EMC

Fecha de publicación: 

20/12/2019

Importancia: 

5 - Crítica

Recursos afectados: 

Dell EMC Unisphere para PowerMax, versiones anteriores a 9.1.0.9.

Descripción: 

El investigador Tomasz Stachowicz, en colaboración con Dell EMC, ha detectado una vulnerabilidad de severidad crítica. Un atacante remoto, autenticado, podría ejecutar código arbitrario en el sistema.

Solución: 

Actualizar Dell EMC Unsiphere para PowerMax a la versión 9.1.0.9 o posterior.

Detalle: 

Una vulnerabilidad de tipo Cross-site-scripting (XSS) existente en el software, podría permitir a un atacante remoto, autenticado, inyectar código JavaScript en el sistema y afectar a otras sesiones de usuario. Se ha reservado el identificador CVE-2019-18588 para esta vulnerabilidad.

Referencias: 

DSA-2019-193: Dell EMC Unisphere for PowerMax Cross-Site Scripting (XXS) Vulnerability

Etiquetas: 

Actualización

Vulnerabilidad

Vulnerabilidad de restricción inadecuada en Palo Alto PAN-OS

Fecha de publicación: 

20/12/2019

Importancia: 

5 - Crítica

Recursos afectados: 

PAN-OS 9.0, versiones anteriores a 9.0.5-h3 en PA-7000 Series, con SMC (Switch Management Card) de segunda generación y LFC (Log Forwarding Card) instalado y configurado.

Descripción: 

Ayad (Ed) Sleiman y su equipo, de KAUST, han descubierto y reportado una vulnerabilidad de restricción inadecuada en las comunicaciones a LFC.

Solución: 

La versión 9.0.5-h3 y posteriores, y la actualización de contenido 8218-5815, solucionan esta vulnerabilidad.

Detalle: 

Una vulnerabilidad de restricción indebida del canal de comunicación en los endpoints previstos, podría permitir a un atacante, con acceso a la red del LFC, obtener acceso con privilegios de root a PAN-OS. Se ha reservado el identificador CVE-2019-17440 para esta vulnerabilidad.

Referencias: 

Improper restriction of communication to Log Forwarding Card (LFC) allows root access

Etiquetas: 

Actualización

Vulnerabilidad