Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Vulnerabilidad de inyección SQL en el sistema CIGESv2

Fecha26/08/2024
Importancia5 - Crítica
Recursos Afectados

CIGESv2, versiones anteriores a 2.15.5.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad critica que afecta al sistema de gestión de colas y citas previas CIGESv2, versiones anteriores a la 2.15.5, la cual ha sido descubierta por Ángel Heredia y Asier Barranco de Telefónica Tech.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-8161: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89.
Solución

La vulnerabilidad ha sido resuelta por el equipo de ATISoluciones en la versión 2.15.5.

Detalle

CVE-2024-8161: vulnerabilidad de inyección SQL en CIGES de ATISoluciones que afecta a las versiones inferiores a la 2.15.5. Esta vulnerabilidad permite a un atacante remoto enviar una consulta SQL especialmente diseñada al punto /modules/ajaxServiciosCentro.php en el parámetro idCentro y recuperar toda la información almacenada en la base de datos.

Control de acceso inadecuado en SonicOS de SonicWall

Fecha26/08/2024
Importancia5 - Crítica
Recursos Afectados
  • SOHO (5.ª generación): 5.9.2.14-12o y versiones anteriores.
  • Gen6 Firewalls (SOHOW, TZ 300, TZ 300W, TZ 400, TZ 400W, TZ 500, TZ 500W, TZ 600, NSA 2650, NSA 3600, NSA 3650, NSA 4600, NSA 4650, NSA 5600, NSA 5650, NSA 6600, NSA 6650, SM 9200, SM 9250, modelos: SM 9400, SM 9450, SM 9600, SM 9650, TZ 300P, TZ 600P, SOHO 250, SOHO 250W, TZ 350, TZ 350W):  6.5.4.14-109n  y versiones anteriores.
  • Gen7 Firewalls: TZ270, TZ270W, TZ370, TZ370W, TZ470, TZ470W, TZ570, TZ570W, TZ570P, TZ670, NSa 2700, NSa 3700, NSa 4700, NSa 5700, NSa 6700, NSsp 10700, NSsp 11700, NSsp 13700: versión de compilación de SonicOS 7.0.1-5035 y versiones anteriores.
Descripción

SonicWall ha publicado una vulnerabilidad podría provocar un acceso no autorizado a recursos y, en condiciones específicas, provocar el bloqueo del firewall.

Solución

Actualizar a las siguientes versiones:

  • SOHO (5.ª generación): 5.9.2.14-13o.
  • Gen6 Firewalls:  6.5.2.8-2n (para SM9800, NSsp 12400, NSsp 12800) y 6.5.4.15.116n (para otros dispositivos Firewall Gen6)
  • Gen7 Firewalls: esta vulnerabilidad no es reproducible en el firmware de SonicOS versión superior a 7.0.1-5035. Sin embargo, SonicWall recomienda que instalar el firmware más reciente.
Detalle

Se ha identificado una vulnerabilidad de control de acceso inadecuado en el acceso de administración de SonicWall SonicOS, lo que podría provocar un acceso, no autorizado, a recursos y, en condiciones específicas, provocar el bloqueo del firewall

Se ha asignado el identificador CVE-2024-40766 para esta vulnerabilidad.