Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Múltiples vulnerabilidades en productos de Cisco

Fecha25/04/2024
Importancia4 - Alta
Recursos Afectados

Esta vulnerabilidad afecta al software Cisco ASA y al software FTD.

Descripción

Cisco ha publicado 2 vulnerabilidades de severidad alta, que podrían permitir a un atacante ejecutar código arbitrario en el dispositivo afectado, después de la siguiente recarga del dispositivo o una denegación del servicio.

Solución

Cisco ha publicado actualizaciones de software gratuitas que solucionan la vulnerabilidad descrita en este aviso.

Detalle

La vulnerabilidad CVE-2024-20353 afecta a la validación incorrecta de un archivo cuando se lee desde la memoria flash del sistema. Un atacante podría aprovechar esta vulnerabilidad copiando un archivo manipulado en el sistema de archivos disk0. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario en el dispositivo afectado después de la siguiente recarga del dispositivo, lo que podría alterar el comportamiento del sistema. Debido a que el código inyectado podría persistir durante los reinicios del dispositivo.

La vulnerabilidad CVE-2024-20353 se debe a una comprobación de errores incompleta al analizar un encabezado HTTP. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP diseñada a un servidor web específico en un dispositivo. Un exploit exitoso podría permitir al atacante provocar una condición DoS cuando el dispositivo se recarga.

Múltiples vulnerabilidades en Hyperion Web Server

Fecha25/04/2024
Importancia3 - Media
Recursos Afectados
  • Hyperion Web Server, versión 2.0.15.
Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad media que afectan a Hyperion, un software de luz ambiental de código abierto, versión 2.0.15 las cuales han sido descubiertas por Raúl Fuentes Ferrer.

A estas vulnerabilidades se le han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-4174: 5.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N | CWE-79 
  • CVE-2024-4175: 5.4 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N | CWE-20
Solución

Las vulnerabilidades han sido solucionadas en la última versión. Se pueden consultar los cambios concretos en el enlace de las referencias.

Detalle

  • CVE-2024-4174: vulnerabilidad de Cross-Site Scripting (XSS) en Hyperion Web Server que afecta a la versión 2.0.15. Esta vulnerabilidad podría permitir a un atacante ejecutar código Javascript malicioso en el cliente inyectando ese código en la URL.

  • CVE-2024-4175: vulnerabilidad de transformación Unicode en Hyperion que afecta a la versión 2.0.15. Esta vulnerabilidad podría permitir a un atacante enviar una carga maliciosa con caracteres Unicode que serán sustituidos por caracteres ASCII.