Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Cross-Site Request Forgery en OPEN JOURNAL SYSTEMS

Fecha11/12/2023
Importancia3 - Media
Recursos Afectados

OPEN JOURNAL SYSTEMS, versión 3.3.0.13.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a OJS (OPEN JOURNAL SYSTEMS), una solución de código abierto para la gestión y publicación de revistas académicas en línea, en su versión 3.3.0.13, la cual ha sido descubierta por David Cámara Galindo, de Telefónica Tech.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2023-6671: CVSS v3.1: 6.3 | CVSS: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L | CWE-352.
Solución

No hay solución reportada por el momento.

Detalle
  • CVE-2023-6671: se ha descubierto una vulnerabilidad en OJS, que consiste en un ataque CSRF (Cross-Site Request Forgery o falsificación de petición en sitios cruzados) que fuerza a un usuario final a ejecutar acciones no deseadas en una aplicación web en la que actualmente está autenticado.

Vulnerabilidad RCE en Apache Struts

Fecha11/12/2023
Importancia5 - Crítica
Recursos Afectados

Apache Struts, versiones:

  • desde 2.0.0 hasta 2.3.37 (EOL);
  • desde 2.5.0 hasta 2.5.32;
  • desde 6.0.0 hasta 6.3.0.
Descripción

Steven Seeley, investigador de Source Incite, ha reportado una vulnerabilidad crítica que afecta a varias versiones de Apache Struts, cuya explotación podría permitir la ejecución remota de código.

Solución

Actualizar a las versiones 2.5.33, 6.3.0.2 o posteriores.

Detalle

Un atacante podría modificar los parámetros de carga de archivos para habilitar el recorrido de rutas y, en algunas circunstancias, esto podría conducir a la carga de un archivo malicioso empleado para realizar una ejecución remota de código. Se ha asignado el identificador CVE-2023-50164 para esta vulnerabilidad.

Boletín de seguridad de Android: diciembre de 2023

Fecha11/12/2023
Importancia5 - Crítica
Recursos Afectados
  • Android Open Source Project (AOSP): versiones 11, 12, 12L, 13 y 14.
  • Componentes del sistema, de la estructura, de MediaTek y de Qualcomm.
Descripción

El boletín de Android, relativo a diciembre de 2023, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, divulgación de información, denegación de servicio o conducir a la ejecución remota de código.

Solución

En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.

En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.

Detalle

Las vulnerabilidades críticas se detallan a continuación:

  • Escalada remota de privilegios sin necesidad de privilegios de ejecución adicionales (CVE-2023-40077).
  • Acceso a credenciales de otros usuarios debido a omisión de permisos (CVE-2023-40076).
  • Corrupción de memoria debido a un uso después de la liberación (CVE-2023-40088).
  • Inyección de mensajes HID cuando no se ha producido ninguna interacción del usuario (CVE-2023-45866).
  • Corrupción de la memoria debido a la doble liberación en el Core (CVE-2022-40507).