Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Índice

  • Múltiples vulnerabilidades en Junos Space de Juniper Networks
  • Múltiples vulnerabilidades en GitLab
  • Vulnerabilidad de falta autenticación en Expedition de Palo Alto Networks

Múltiples vulnerabilidades en Junos Space de Juniper Networks

Fecha11/07/2024
Importancia5 - Crítica
Recursos Afectados
  • Junos Space, versiones anteriores a 24.1R1.
Descripción

Proveedores de terceros han reportado a Juniper Networks múltiples vulnerabilidades en Junos Space, siendo 33 de ellas de severidad crítica.

Solución

Actualizar Junos Space a la versión 24.1R1 o posteriores.

Detalle

Las vulnerabilidades de severidad crítica son de tipo:

  • denegación de servicio,
  • ejecución de código arbitrario/remoto,
  • lectura de memoria después de ser liberada,
  • desbordamiento de búfer,
  • divulgación de información,
  • lectura fuera de límites,
  • prototype pollution (vulnerabilidad en tiempos de ejecución de JavaScript),
  • confusión de tipos de archivo,
  • HTTP Request Smuggling,
  • desbordamiento de enteros,
  • validación de codificación insuficiente,
  • omisión de autenticación.

El listado completo de identificadores CVE asignados a las vulnerabilidades puede consultarse en las referencias.

Múltiples vulnerabilidades en GitLab

Fecha11/07/2024
Importancia5 - Crítica
Recursos Afectados

La vulnerabilidad de severidad crítica afecta a las siguientes versiones de GitLab:

  • versiones desde 15.8 hasta 16.11.6;
  • versiones desde 17.0 hasta 17.0.4;
  • versiones desde 17.1 hasta 17.1.2.
Descripción

Varios investigadores, tanto del equipo de GitLab como a través de la plataforma HackerOne, han reportado 6 vulnerabilidades en GitLab: 1 de severidad crítica, 1 de severidad media, y 4 de severidad baja.

Solución

GitLab recomienda a los usuarios afectados que todas las instalaciones que ejecuten una versión afectada por los problemas descritos se actualicen a la última versión lo antes posible.

Detalle

Se ha descubierto una vulnerabilidad en GitLab CE/EE que permitiría a un atacante activar una pipeline como otro usuario en determinadas circunstancias. Se ha asignado el identificador CVE-2024-6385 para esta vulnerabilidad.

Los detalles del resto de vulnerabilidades de severidad no crítica se pueden consultar en las referencias.

Vulnerabilidad de falta autenticación en Expedition de Palo Alto Networks

Fecha11/07/2024
Importancia5 - Crítica
Recursos Afectados
  • Expedition 1.2, versiones anteriores a 1.2.92.
Descripción

Brian Hysell (Synopsys CyRC) ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante tomar el control de una cuenta de administrador.

Solución

La vulnerabilidad reportada se ha solucionado en Expedition 1.2.92 y todas las versiones posteriores.

Detalle

La falta de autenticación para una función crítica en Expedition de Palo Alto Networks podría dar lugar a una toma de control de la cuenta de administrador de Expedition por parte de atacantes con acceso de red.

Expedition es una herramienta que ayuda a migrar, ajustar y enriquecer la configuración. Palo Alto Networks indica que los secretos de configuración, las credenciales y otros datos importados en Expedition corren peligro debido a la vulnerabilidad reportada.

Se ha asignado el identificador CVE-2024-5910 para esta vulnerabilidad.