Home / Node / Boletín de INCIBE-CERT del 15-10-2019

Boletín de INCIBE-CERT del 15-10-2019

Evasión de restricciones de Runas en sudo

Publication date: 
10/15/2019
Importance: 
4 - Alta
Affected resources: 

Sudo, versiones anteriores a la 1.8.28.

Description: 

Una vulnerabilidad de criticidad alta en sudo podría permitir a un atacante evadir las restricciones Runas y ejecutar comandos como root.

Solution: 

Actualizar a la versión 1.8.28.

Detail: 

Cuando sudo es configurado para permitir a los usuarios ejecutar comandos arbitrarios mediante el parámetro ALL en Runas, es posible ejecutar comandos como root empleando los ID de usuario -1 o 4294967295. Un atacante local, autenticado, con privilegios de sudo, podría ejecutar comandos como root evadiendo las restricciones de usuario de Runas en el sistema. Se ha reservado el identificador CVE-2019-14287 para esta vulnerabilidad.

Encuesta valoración

Actualización de seguridad 5.2.4 para WordPress

Publication date: 
10/15/2019
Importance: 
3 - Media
Affected resources: 

WordPress, versiones 5.2.3 y anteriores.

Description: 

Se ha publicado la última versión de WordPress, que corrige 6 problemas de seguridad.

Solution: 
  • Actualizar a la versión 5.2.4.
  • Las versiones actualizadas de WordPress 5.1 y anteriores también están disponibles para cualquier usuario que aún no haya actualizado a la versión 5.2.
Detail: 

Las correcciones de seguridad solucionan las siguientes vulnerabilidades que podrían permitir a un atacante:

  • realizar ataques Cross-Site Scripting (XSS) a través de Customizer.
  • ver los mensajes no autenticados.
  • inyectar código Javascript en etiquetas de estilo a través de Stored Cross-Site Scripting.
  • envenenamiento de caché de las peticiones de JSON GET a través de Vary.
  • falsificar peticiones en el lado del servidor en la forma en que se validan las URLs.

Encuesta valoración