Inicio / Content / Boletín de INCIBE-CERT del 21-03-2019

Boletín de INCIBE-CERT del 21-03-2019

Vulnerabilidad de Cross-Site Scripting en el core de Drupal

Fecha de publicación: 
21/03/2019
Importancia: 
3 - Media
Recursos afectados: 
  • Versiones 8.6.x anteriores a 8.6.13
  • Versiones 8.5.x anteriores a 8.5.14
  • Versiones 7.x anteriores a 7.65
Descripción: 

Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en el core de Drupal.

Solución: 
  • Para Drupal 8.6, actualizar a la versión 8.6.13
  • Para Drupal 8.5 y anteriores, actualizar a la versión 8.5.14
  • Para Drupal 7, actualizar a la versión 7.65

Las versiones de Drupal 8 anteriores a 8.5.x están en fase end-of-life y, por lo tanto, no reciben actualizaciones de seguridad.

Detalle: 
  • Bajo ciertas circunstancias, el módulo/subsistema de archivos permite que un usuario malicioso cargue un archivo que puede desencadenar una vulnerabilidad de Cross-Site Scripting (XSS). [Actualización 26/04/2019] Se ha reservado el CVE-2019-6341 a esta vulnerabilidad.

Encuesta valoración

Etiquetas: 

Múltiples vulnerabilidades en teléfonos IP de Cisco

Fecha de publicación: 
21/03/2019
Importancia: 
4 - Alta
Recursos afectados: 

Teléfonos IP de Cisco que ejecuten el software SIP en las versiones anteriores a las siguientes:

  • 10.3(1)SR5 para Unified IP Conference Phone 8831
  • 11.0(4)SR3 y 11.0(5) para Wireless IP Phone 8821 y 8821-EX
  • 12.5(1)SR1 para IP Conference Phone 8832, las series IP Phone 8800 e IP Phone 7800
Descripción: 

Cisco ha detectado 5 vulnerabilidades de criticidad alta que afectan a varios de sus teléfonos IP.

Solución: 
  • Cisco ha puesto a disposición de sus usuarios una serie de actualizaciones que mitigan las vulnerabilidades en función de la versión y producto afectado. Puede descargarse la actualización desde el centro de software de Cisco.
Detalle: 

Las vulnerabilidades encontradas podrían permitir a un atacante remoto sin autenticación realizar:

  • Modificación no autorizada de archivos.
  • Generar una condición de denegación de servicio (DoS).
  • Eludir comprobaciones de autenticación.
  • Acceder a servicios críticos.
  • Ejecución arbitraria de código.
  • Obtención de privilegios.

Se han reservado los identificadores CVE-2019-1764, CVE-2019-1716, CVE-2019-1763, CVE-2019-1766, CVE-2019-1765 para estas vulnerabilidades.

Encuesta valoración