Home / Node / Boletín de INCIBE-CERT del 16-07-2020

Boletín de INCIBE-CERT del 16-07-2020

Múltiples vulnerabilidades en productos Cisco

Publication date: 
07/16/2020
Importance: 
5 - Crítica
Affected resources: 
  • Cisco PLM Software, versiones 10.5(2)SU9, 11.5(1)SU6 y anteriores;
  • Cisco RV215W Wireless-N VPN Router, versiones anteriores a la 1.3.1.7;
  • Cisco RV110W Wireless-N VPN Firewall, todas las versiones;
  • Cisco RV130 VPN Router, todas las versiones;
  • Cisco RV130W Wireless-N Multifunction VPN Router, todas las versiones;
  • Cisco RV215W Wireless-N VPN Router, todas las versiones.
Description: 

Cisco ha publicado múltiples vulnerabilidades, todas ellas de severidad crítica, que podrían permitir a un atacante remoto, no autenticado, conseguir acceso no autorizado al dispositivo, ejecutar código arbitrario u obtener el control total del sistema.

Solution: 

Actualizar a las versiones, disponibles desde el panel de descarga de Software de Cisco:

  • Cisco PLM 10.5(2)SU10 o superior;
  • Cisco PLM 11.5(1)SU7 o superior;
  • RV110W Wireless-N VPN Firewall, versión 1.2.2.8;
  • RV215W Wireless-N VPN Router, versión 1.3.1.7;
  • RV130 VPN Router, versión 1.0.3.55;
  • RV130W Wireless-N Multifunction VPN Router, versión 1.0.3.55;
  • RV215W Wireless-N VPN Router, versión 1.3.1.7.
Detail: 
  • La validación insuficiente de las aportaciones de los usuarios en la interfaz de gestión de la web podría permitir a un atacante que envíe una solicitud maliciosa a un sistema afectado, obtener privilegios de administrador en el sistema. El atacante necesita un nombre de usuario válido para explotar esta vulnerabilidad. Se ha asignado el identificador CVE-2020-3140 para esta vulnerabilidad.
  • La validación inadecuada de los datos de entrada proporcionados por el usuario mediante la interfaz de gestión basada en la web podría permitir a un atacante ejecutar código arbitrario con los privilegios del usuario raíz, mediante el envío de solicitudes especialmente diseñadas a un dispositivo específico. Se ha asignado el identificador CVE-2020-3331 para esta vulnerabilidad.
  • La gestión inadecuada de las sesiones en los dispositivos afectados podría permitir a un atacante obtener acceso de administrador en el dispositivo afectado, enviando una solicitud HTTP especialmente diseñada al dispositivo afectado. Se ha asignado el identificador CVE-2020-3144 para esta vulnerabilidad.
  • La validación inadecuada de los datos suministrados por el usuario en la interfaz de gestión basada en la web podría permitir a un atacante ejecutar código arbitrario como root en el sistema operativo subyacente del dispositivo afectado, mediante el envío de solicitudes HTTP especialmente diseñadas a un dispositivo específico. Se ha asignado el identificador CVE-2020-3323 para esta vulnerabilidad.
  • Una cuenta del sistema tiene una contraseña predeterminada y estática. Un atacante podría utilizar esta cuenta predeterminada para conectarse al sistema afectado y obtener el control total del dispositivo. Se ha asignado el identificador CVE-2020-3330 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades XSS en Jenkins

Publication date: 
07/16/2020
Importance: 
4 - Alta
Affected resources: 
  • Jenkins hasta versión 2.244 inclusive.
  • Jenkins LTS hasta versión 2.235.1 inclusive.
Description: 

Jenkins ha informado de múltiples vulnerabilidades de tipo Cross-site-scripting (XSS) almacenados que podrían permitir a un atacante remoto ejecutar código arbitrario.

Solution: 

Se recomienda instalar las siguientes versiones para solucionar estas vulnerabilidades:

  • Jenkins versión 2.245.
  • Jenkins LTS versión 2.235.2.
Detail: 

Las vulnerabilidades encontradas en Jenkins afectan a la página de tendencias de tiempo de compilación, al nombre para mostrar del trabajo ascendente, a los iconos de la insignia Keep forever, y a la página de la consola de compilación.

Se han asignado los identificadores CVE-2020-2220, CVE-2020-2221, CVE-2020-2222 y CVE-2020-2223 para estas vulnerabilidades. Así mismo, Jenkins ha informado de otras vulnerabilidades en diferentes complementos.

Encuesta valoración