Vulnerabilidades

Se ha identificado una vulnerabilidad en RUGGEDCOM RST2428P (6GK6242-6PA00) (Todas las versiones < V3.2), SCALANCE XC316-8 (6GK5324-8TS00-2AC2) (Todas las versiones < V3.2), SCALANCE XC324-4 (6GK5328-4TS00-2AC2) (Todas las versiones < V3.2), SCALANCE XC324-4 EEC (6GK5328-4TS00-2EC2) (Todas las versiones < V3.2), SCALANCE XC332 (6GK5332-0GA00-2AC2) (Todas las versiones < V3.2), SCALANCE XC416-8 (6GK5424-8TR00-2AC2) (Todas las versiones < V3.2), SCALANCE XC424-4 (6GK5428-4TR00-2AC2) (Todas las versiones < V3.2), SCALANCE XC432 (6GK5432-0GR00-2AC2) (Todas las versiones < V3.2), SCALANCE XCH328 (6GK5328-4TS01-2EC2) (Todas las versiones < V3.2), SCALANCE XCM324 (6GK5324-8TS01-2AC2) (Todas las versiones < V3.2), SCALANCE XCM328 (6GK5328-4TS01-2AC2) (Todas las versiones < V3.2), SCALANCE XCM332 (6GK5332-0GA01-2AC2) (Todas las versiones < V3.2), SCALANCE XR302-32 (6GK5334-5TS00-2AR3) (Todas las versiones < V3.2), SCALANCE XR302-32 (6GK5334-5TS00-3AR3) (Todas las versiones < V3.2), SCALANCE XR302-32 (6GK5334-5TS00-4AR3) (Todas las versiones < V3.2), SCALANCE XR322-12 (6GK5334-3TS00-2AR3) (Todas las versiones < V3.2), SCALANCE XR322-12 (6GK5334-3TS00-3AR3) (Todas las versiones < V3.2), SCALANCE XR322-12 (6GK5334-3TS00-4AR3) (Todas las versiones < V3.2), SCALANCE XR326-8 (6GK5334-2TS00-2AR3) (Todas las versiones < V3.2), SCALANCE XR326-8 (6GK5334-2TS00-3AR3) (Todas las versiones < V3.2), SCALANCE XR326-8 (6GK5334-2TS00-4AR3) (Todas las versiones < V3.2), SCALANCE XR326-8 EEC (6GK5334-2TS00-2ER3) (Todas las versiones < V3.2), SCALANCE XR502-32 (6GK5534-5TR00-2AR3) (Todas las versiones < V3.2), SCALANCE XR502-32 (6GK5534-5TR00-3AR3) (Todas las versiones < V3.2), SCALANCE XR502-32 (6GK5534-5TR00-4AR3) (Todas las versiones < V3.2), SCALANCE XR522-12 (6GK5534-3TR00-2AR3) (Todas las versiones < V3.2), SCALANCE XR522-12 (6GK5534-3TR00-3AR3) (Todas las versiones < V3.2), SCALANCE XR522-12 (6GK5534-3TR00-4AR3) (Todas las versiones < V3.2), SCALANCE XR526-8 (6GK5534-2TR00-2AR3) (Todas las versiones < V3.2), SCALANCE XR526-8 (6GK5534-2TR00-3AR3) (Todas las versiones < V3.2), SCALANCE XR526-8 (6GK5534-2TR00-4AR3) (Todas las versiones < V3.2), SCALANCE XRH334 (24 V DC, 8xFO, CC) (6GK5334-2TS01-2ER3) (Todas las versiones < V3.2), SCALANCE XRM334 (230 V AC, 12xFO) (6GK5334-3TS01-3AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (230 V CA, 8xFO) (6GK5334-2TS01-3AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (230 V CA, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-3AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (24 V CC, 12xFO) (6GK5334-3TS01-2AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (24 V CC, 8xFO) (6GK5334-2TS01-2AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (24 V CC, 2 x 10 G, 24 x SFP, 8 x SFP+) (6GK5334-5TS01-2AR3) (Todas las versiones anteriores a la V3.2), SCALANCE XRM334 (2 x 230 V CA, 12 x FO) (6GK5334-3TS01-4AR3) (Todas las versiones anteriores a la V3.2), SCALANCE XRM334 (2 x 230 V CA, 8 x FO) (6GK5334-2TS01-4AR3) (Todas las versiones anteriores a la V3.2), SCALANCE XRM334 (2 x 230 V CA, 2 x 10 G, 24 x SFP, 8 x SFP+) (6GK5334-5TS01-4AR3) (Todas las versiones anteriores a la V3.2). La función "Cargar revertido" de la interfaz web de los productos afectados presenta una vulnerabilidad de comprobación de autorización incorrecta. Esto podría permitir que un atacante remoto autenticado con rol de "invitado" haga que el producto afectado revierta los cambios de configuración realizados por usuarios privilegiados.

Se ha identificado una vulnerabilidad en RUGGEDCOM RST2428P (6GK6242-6PA00) (Todas las versiones < V3.2), SCALANCE XC316-8 (6GK5324-8TS00-2AC2) (Todas las versiones < V3.2), SCALANCE XC324-4 (6GK5328-4TS00-2AC2) (Todas las versiones < V3.2), SCALANCE XC324-4 EEC (6GK5328-4TS00-2EC2) (Todas las versiones < V3.2), SCALANCE XC332 (6GK5332-0GA00-2AC2) (Todas las versiones < V3.2), SCALANCE XC416-8 (6GK5424-8TR00-2AC2) (Todas las versiones < V3.2), SCALANCE XC424-4 (6GK5428-4TR00-2AC2) (Todas las versiones < V3.2), SCALANCE XC432 (6GK5432-0GR00-2AC2) (Todas las versiones < V3.2), SCALANCE XCH328 (6GK5328-4TS01-2EC2) (Todas las versiones < V3.2), SCALANCE XCM324 (6GK5324-8TS01-2AC2) (Todas las versiones < V3.2), SCALANCE XCM328 (6GK5328-4TS01-2AC2) (Todas las versiones < V3.2), SCALANCE XCM332 (6GK5332-0GA01-2AC2) (Todas las versiones < V3.2), SCALANCE XR302-32 (6GK5334-5TS00-2AR3) (Todas las versiones < V3.2), SCALANCE XR302-32 (6GK5334-5TS00-3AR3) (Todas las versiones < V3.2), SCALANCE XR302-32 (6GK5334-5TS00-4AR3) (Todas las versiones < V3.2), SCALANCE XR322-12 (6GK5334-3TS00-2AR3) (Todas las versiones < V3.2), SCALANCE XR322-12 (6GK5334-3TS00-3AR3) (Todas las versiones < V3.2), SCALANCE XR322-12 (6GK5334-3TS00-4AR3) (Todas las versiones < V3.2), SCALANCE XR326-8 (6GK5334-2TS00-2AR3) (Todas las versiones < V3.2), SCALANCE XR326-8 (6GK5334-2TS00-3AR3) (Todas las versiones < V3.2), SCALANCE XR326-8 (6GK5334-2TS00-4AR3) (Todas las versiones < V3.2), SCALANCE XR326-8 EEC (6GK5334-2TS00-2ER3) (Todas las versiones < V3.2), SCALANCE XR502-32 (6GK5534-5TR00-2AR3) (Todas las versiones < V3.2), SCALANCE XR502-32 (6GK5534-5TR00-3AR3) (Todas las versiones < V3.2), SCALANCE XR502-32 (6GK5534-5TR00-4AR3) (Todas las versiones < V3.2), SCALANCE XR522-12 (6GK5534-3TR00-2AR3) (Todas las versiones < V3.2), SCALANCE XR522-12 (6GK5534-3TR00-3AR3) (Todas las versiones < V3.2), SCALANCE XR522-12 (6GK5534-3TR00-4AR3) (Todas las versiones < V3.2), SCALANCE XR526-8 (6GK5534-2TR00-2AR3) (Todas las versiones < V3.2), SCALANCE XR526-8 (6GK5534-2TR00-3AR3) (Todas las versiones < V3.2), SCALANCE XR526-8 (6GK5534-2TR00-4AR3) (Todas las versiones < V3.2), SCALANCE XRH334 (24 V DC, 8xFO, CC) (6GK5334-2TS01-2ER3) (Todas las versiones < V3.2), SCALANCE XRM334 (230 V AC, 12xFO) (6GK5334-3TS01-3AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (230 V CA, 8xFO) (6GK5334-2TS01-3AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (230 V CA, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-3AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (24 V CC, 12xFO) (6GK5334-3TS01-2AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (24 V CC, 8xFO) (6GK5334-2TS01-2AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (24 V CC, 2 x 10 G, 24 x SFP, 8 x SFP+) (6GK5334-5TS01-2AR3) (Todas las versiones anteriores a la V3.2), SCALANCE XRM334 (2 x 230 V CA, 12 x FO) (6GK5334-3TS01-4AR3) (Todas las versiones anteriores a la V3.2), SCALANCE XRM334 (2 x 230 V CA, 8 x FO) (6GK5334-2TS01-4AR3) (Todas las versiones anteriores a la V3.2), SCALANCE XRM334 (2 x 230 V CA, 2 x 10 G, 24 x SFP, 8 x SFP+) (6GK5334-5TS01-4AR3) (Todas las versiones anteriores a la V3.2). Una funcionalidad interna de finalización de sesión en la interfaz web de los productos afectados contiene una vulnerabilidad de comprobación de autorización incorrecta. Esto podría permitir que un atacante remoto autenticado con rol de "invitado" finalice las sesiones de usuarios legítimos.

Se ha identificado una vulnerabilidad en RUGGEDCOM RST2428P (6GK6242-6PA00) (Todas las versiones < V3.2), SCALANCE XC316-8 (6GK5324-8TS00-2AC2) (Todas las versiones < V3.2), SCALANCE XC324-4 (6GK5328-4TS00-2AC2) (Todas las versiones < V3.2), SCALANCE XC324-4 EEC (6GK5328-4TS00-2EC2) (Todas las versiones < V3.2), SCALANCE XC332 (6GK5332-0GA00-2AC2) (Todas las versiones < V3.2), SCALANCE XC416-8 (6GK5424-8TR00-2AC2) (Todas las versiones < V3.2), SCALANCE XC424-4 (6GK5428-4TR00-2AC2) (Todas las versiones < V3.2), SCALANCE XC432 (6GK5432-0GR00-2AC2) (Todas las versiones < V3.2), SCALANCE XCH328 (6GK5328-4TS01-2EC2) (Todas las versiones < V3.2), SCALANCE XCM324 (6GK5324-8TS01-2AC2) (Todas las versiones < V3.2), SCALANCE XCM328 (6GK5328-4TS01-2AC2) (Todas las versiones < V3.2), SCALANCE XCM332 (6GK5332-0GA01-2AC2) (Todas las versiones < V3.2), SCALANCE XR302-32 (6GK5334-5TS00-2AR3) (Todas las versiones < V3.2), SCALANCE XR302-32 (6GK5334-5TS00-3AR3) (Todas las versiones < V3.2), SCALANCE XR302-32 (6GK5334-5TS00-4AR3) (Todas las versiones < V3.2), SCALANCE XR322-12 (6GK5334-3TS00-2AR3) (Todas las versiones < V3.2), SCALANCE XR322-12 (6GK5334-3TS00-3AR3) (Todas las versiones < V3.2), SCALANCE XR322-12 (6GK5334-3TS00-4AR3) (Todas las versiones < V3.2), SCALANCE XR326-8 (6GK5334-2TS00-2AR3) (Todas las versiones < V3.2), SCALANCE XR326-8 (6GK5334-2TS00-3AR3) (Todas las versiones < V3.2), SCALANCE XR326-8 (6GK5334-2TS00-4AR3) (Todas las versiones < V3.2), SCALANCE XR326-8 EEC (6GK5334-2TS00-2ER3) (Todas las versiones < V3.2), SCALANCE XR502-32 (6GK5534-5TR00-2AR3) (Todas las versiones < V3.2), SCALANCE XR502-32 (6GK5534-5TR00-3AR3) (Todas las versiones < V3.2), SCALANCE XR502-32 (6GK5534-5TR00-4AR3) (Todas las versiones < V3.2), SCALANCE XR522-12 (6GK5534-3TR00-2AR3) (Todas las versiones < V3.2), SCALANCE XR522-12 (6GK5534-3TR00-3AR3) (Todas las versiones < V3.2), SCALANCE XR522-12 (6GK5534-3TR00-4AR3) (Todas las versiones < V3.2), SCALANCE XR526-8 (6GK5534-2TR00-2AR3) (Todas las versiones < V3.2), SCALANCE XR526-8 (6GK5534-2TR00-3AR3) (Todas las versiones < V3.2), SCALANCE XR526-8 (6GK5534-2TR00-4AR3) (Todas las versiones < V3.2), SCALANCE XRH334 (24 V DC, 8xFO, CC) (6GK5334-2TS01-2ER3) (Todas las versiones < V3.2), SCALANCE XRM334 (230 V AC, 12xFO) (6GK5334-3TS01-3AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (230 V CA, 8xFO) (6GK5334-2TS01-3AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (230 V CA, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-3AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (24 V CC, 12xFO) (6GK5334-3TS01-2AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (24 V CC, 8xFO) (6GK5334-2TS01-2AR3) (Todas las versiones < V3.2), SCALANCE XRM334 (24 V CC, 2 x 10 G, 24 x SFP, 8 x SFP+) (6GK5334-5TS01-2AR3) (Todas las versiones anteriores a la V3.2), SCALANCE XRM334 (2 x 230 V CA, 12 x FO) (6GK5334-3TS01-4AR3) (Todas las versiones anteriores a la V3.2), SCALANCE XRM334 (2 x 230 V CA, 8 x FO) (6GK5334-2TS01-4AR3) (Todas las versiones anteriores a la V3.2), SCALANCE XRM334 (2 x 230 V CA, 2 x 10 G, 24 x SFP, 8 x SFP+) (6GK5334-5TS01-4AR3) (Todas las versiones anteriores a la V3.2). La función "Cargar configuración desde el PC local" en la interfaz web de los productos afectados contiene una vulnerabilidad de condición de ejecución. Esto podría permitir que un atacante remoto autenticado haga que el producto afectado cargue una configuración controlada por el atacante en lugar de la legítima. Para explotar esta vulnerabilidad con éxito, es necesario que un administrador legítimo invoque la funcionalidad y que el atacante supere la condición de ejecución.

GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. El uso de la librería XSD de Eclipse por parte de la clase Esquema de GeoTools para representar la estructura de datos del esquema es vulnerable a la vulnerabilidad de Entidad Externa XML (XXE). Esto afecta a quien exponga el procesamiento XML con gt-xsd-core involucrado en el análisis, cuando los documentos contienen una referencia a un esquema XML externo. La clase Esquemas de gt-xsd-core no utiliza el EntityResolver proporcionado por ParserHandler (si se configuró alguno). Esto también afecta a los usuarios del almacén de datos gt-wfs-ng donde el parámetro de conexión ENTITY_RESOLVER no se utilizaba correctamente. Esta vulnerabilidad está corregida en GeoTools 33.1, 32.3, 31.7 y 28.6.1, GeoServer 2.27.1, 2.26.3 y 2.25.7, y GeoNetwork 4.4.8 y 4.2.13.

Las versiones 2.4.8, 2.4.7-p5, 2.4.6-p10, 2.4.5-p12, 2.4.4-p13 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de control de acceso inadecuado que podría provocar la omisión de una función de seguridad. Un atacante podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso de escritura limitado. Para explotar este problema no se requiere la interacción del usuario.

Las versiones 2.4.8, 2.4.7-p5, 2.4.6-p10, 2.4.5-p12, 2.4.4-p13 y anteriores de Adobe Commerce se ven afectadas por una vulnerabilidad de control de acceso inadecuado que podría provocar una escalada de privilegios. Un atacante con pocos privilegios podría aprovechar esta vulnerabilidad para eludir las medidas de seguridad y obtener acceso de lectura no autorizado. Para explotar este problema no se requiere la interacción del usuario.

Se ha identificado una vulnerabilidad en RUGGEDCOM RST2428P (6GK6242-6PA00) (Todas las versiones < V3.1), SCALANCE XC316-8 (6GK5324-8TS00-2AC2) (Todas las versiones < V3.1), SCALANCE XC324-4 (6GK5328-4TS00-2AC2) (Todas las versiones < V3.1), SCALANCE XC324-4 EEC (6GK5328-4TS00-2EC2) (Todas las versiones < V3.1), SCALANCE XC332 (6GK5332-0GA00-2AC2) (Todas las versiones < V3.1), SCALANCE XC416-8 (6GK5424-8TR00-2AC2) (Todas las versiones < V3.1), SCALANCE XC424-4 (6GK5428-4TR00-2AC2) (Todas las versiones < V3.1), SCALANCE XC432 (6GK5432-0GR00-2AC2) (Todas las versiones < V3.1), SCALANCE XCH328 (6GK5328-4TS01-2EC2) (Todas las versiones < V3.1), SCALANCE XCM324 (6GK5324-8TS01-2AC2) (Todas las versiones < V3.1), SCALANCE XCM328 (6GK5328-4TS01-2AC2) (Todas las versiones < V3.1), SCALANCE XCM332 (6GK5332-0GA01-2AC2) (Todas las versiones < V3.1), SCALANCE XR302-32 (6GK5334-5TS00-2AR3) (Todas las versiones < V3.1), SCALANCE XR302-32 (6GK5334-5TS00-3AR3) (Todas las versiones < V3.1), SCALANCE XR302-32 (6GK5334-5TS00-4AR3) (Todas las versiones < V3.1), SCALANCE XR322-12 (6GK5334-3TS00-2AR3) (Todas las versiones < V3.1), SCALANCE XR322-12 (6GK5334-3TS00-3AR3) (Todas las versiones < V3.1), SCALANCE XR322-12 (6GK5334-3TS00-4AR3) (Todas las versiones < V3.1), SCALANCE XR326-8 (6GK5334-2TS00-2AR3) (Todas las versiones < V3.1), SCALANCE XR326-8 (6GK5334-2TS00-3AR3) (Todas las versiones < V3.1), SCALANCE XR326-8 (6GK5334-2TS00-4AR3) (Todas las versiones < V3.1), SCALANCE XR326-8 EEC (6GK5334-2TS00-2ER3) (Todas las versiones < V3.1), SCALANCE XR502-32 (6GK5534-5TR00-2AR3) (Todas las versiones < V3.1), SCALANCE XR502-32 (6GK5534-5TR00-3AR3) (Todas las versiones < V3.1), SCALANCE XR502-32 (6GK5534-5TR00-4AR3) (Todas las versiones < V3.1), SCALANCE XR522-12 (6GK5534-3TR00-2AR3) (Todas las versiones < V3.1), SCALANCE XR522-12 (6GK5534-3TR00-3AR3) (Todas las versiones < V3.1), SCALANCE XR522-12 (6GK5534-3TR00-4AR3) (Todas las versiones < V3.1), SCALANCE XR526-8 (6GK5534-2TR00-2AR3) (Todas las versiones < V3.1), SCALANCE XR526-8 (6GK5534-2TR00-3AR3) (Todas las versiones < V3.1), SCALANCE XR526-8 (6GK5534-2TR00-4AR3) (Todas las versiones < V3.1), SCALANCE XRH334 (24 V DC, 8xFO, CC) (6GK5334-2TS01-2ER3) (Todas las versiones < V3.1), SCALANCE XRM334 (230 V AC, 12xFO) (6GK5334-3TS01-3AR3) (Todas las versiones < V3.1), SCALANCE XRM334 (230 V CA, 8xFO) (6GK5334-2TS01-3AR3) (Todas las versiones < V3.1), SCALANCE XRM334 (230 V CA, 2x10G, 24xSFP, 8xSFP+) (6GK5334-5TS01-3AR3) (Todas las versiones < V3.1), SCALANCE XRM334 (24 V CC, 12xFO) (6GK5334-3TS01-2AR3) (Todas las versiones < V3.1), SCALANCE XRM334 (24 V CC, 8xFO) (6GK5334-2TS01-2AR3) (Todas las versiones < V3.1), SCALANCE XRM334 (24 V CC, 2 x 10 G, 24 x SFP, 8 x SFP+) (6GK5334-5TS01-2AR3) (Todas las versiones anteriores a la V3.1), SCALANCE XRM334 (2 x 230 V CA, 12 x FO) (6GK5334-3TS01-4AR3) (Todas las versiones anteriores a la V3.1), SCALANCE XRM334 (2 x 230 V CA, 8 x FO) (6GK5334-2TS01-4AR3) (Todas las versiones anteriores a la V3.1), SCALANCE XRM334 (2 x 230 V CA, 2 x 10 G, 24 x SFP, 8 x SFP+) (6GK5334-5TS01-4AR3) (Todas las versiones anteriores a la V3.1). Los dispositivos afectados presentan una vulnerabilidad de comprobación de autorización incorrecta. Esto podría permitir que un atacante remoto autenticado con rol de invitado invoque un comando interno "do system" que excede sus privilegios. Este comando permite la ejecución de ciertas acciones de bajo riesgo, la más crítica de las cuales es borrar el registro del sistema local.

El panel del Diseñador de Paneles en Airleader Master y Easy (versión anterior a la 6.36) permite a atacantes remotos ejecutar comandos arbitrarios mediante la carga sin restricciones de archivos en el archivo wizard/workspace.jsp. Para aprovechar esta ventaja, el atacante debe iniciar sesión en la consola de administrador (las credenciales predeterminadas son débiles y fáciles de adivinar) y cargar un archivo JSP a través del panel del Diseñador de Paneles.

Una clave codificada en Ivanti Workspace Control anterior a la versión 10.19.10.0 permite que un atacante local autenticado descifre las credenciales SQL almacenadas.

Al descargar un archivo binario manipulado con fines maliciosos, podría provocar la escalada de privilegios a NT AUTHORITY/SYSTEM debido al uso de una ruta de búsqueda no confiable en la aplicación Autodesk Installer. La explotación de esta vulnerabilidad podría provocar la ejecución de código.

GeoServer es un servidor de código abierto que permite a los usuarios compartir y editar datos geoespaciales. GeoServer puede ejecutar scripts Jiffle maliciosos, ya sea como una transformación de renderizado en estilos dinámicos WMS o como un proceso WPS, que pueden entrar en un bucle infinito y provocar una denegación de servicio. Esta vulnerabilidad se ha corregido en las versiones 2.27.0, 2.26.3 y 2.25.7. Esta vulnerabilidad se puede mitigar deshabilitando los estilos dinámicos WMS y el proceso Jiffle.

Una vulnerabilidad en las API de HPE Aruba Networking Private 5G Core podría exponer información confidencial a usuarios no autorizados. Una explotación exitosa podría permitir a un atacante navegar iterativamente por el sistema de archivos y, en última instancia, descargar archivos protegidos del sistema que contienen información confidencial.