Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Vulnerabilidad de exposición de información en Request Tracker (RT)

Fecha04/04/2024
Importancia3 - Media
Recursos Afectados
  • Request Tracker, versión 4.4.1.
Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a RT versión 4.4.1, herramienta desarrollada por Best Practical Solutions para la gestión de ciberincidentes, la cual ha sido descubierta por Javier Garcia Antón.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-3262: 5.5 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-200
Solución

Vulnerabilidad solucionada aplicando los siguientes parches:
•    https://github.com/bestpractical/rt/commit/ea07e767eaef5b202e8883051616d09806b8b48a.patch
•    https://github.com/bestpractical/rt/commit/468f86bd3e82c3b5b5ef7087d416a7509d4b1abe.patch
En versiones futuras de RT, se incluirá esta solución como una opción configurable de la herramienta.

Detalle

CVE-2024-3262: vulnerabilidad de exposición de información en el software RT que afecta a la versión 4.4.1. Esta vulnerabilidad permite a un atacante con acceso local al dispositivo recuperar información confidencial sobre la aplicación, como tickets de vulnerabilidad, debido a que la aplicación almacena la información en la memoria caché del navegador, lo que conduce a una exposición de la información a pesar de la finalización de la sesión.

Múltiples vulnerabilidades en Unified OSS Console de HPE

Fecha04/04/2024
Importancia5 - Crítica
Recursos Afectados

HPE Unified OSS Console (UOC), versiones anteriores a v3.1.4.

Descripción

HPE ha publicado 8 vulnerabilidades: 2 de severidad crítica, 4 de severidad alta y 2 de severidad media, que podrían provocar de forma local divulgación de información confidencial, divulgación no autorizada de información, falsificación de solicitudes del lado del servidor (SSRF). De forma remota, también podría provocar omisión de autenticación, denegación de servicio (DoS) y falsificación de solicitudes del lado del servidor (SSRF).

Solución

Actualizar Unified OSS Console Assurance Monitoring (UOCAM) a v3.1.4.

Detalle

Las vulnerabilidades de severidad crítica son de tipo modificación incorrectamente controlada de los atributos de objeto y falsificación de solicitudes del lado del servidor, ya que algunas IP están categorizadas incorrectamente como enrutables globalmente a través de 'isPublic'.

Se han asignado los identificadores CVE-2023-42282 y CVE-2021-44906 para estas vulnerabilidades.

Para el resto de vulnerabilidades de severidad severidades altas y medias se han asignado los identificadores: CVE-2023-51775, CVE-2023-6378, CVE-2024-22257, CVE-2024-22259, CVE-2024-28176 y CVE-2024-28849.