Tres nuevos avisos de seguridad
Índice
- Múltiples vulnerabilidades en Sophos Firewall
- Permisos predeterminados incorrectos en Evoko Home de Biamp
- Vulnerabilidad de ejecución remota de código en Webmin
Múltiples vulnerabilidades en Sophos Firewall
Sophos Firewall, versiones (21.0.0) y anteriores.
Un investigador de seguridad a través del programa de recompensas de Sophos junto al equipo de seguridad de Sophos, han reportado 3 vulnerabilidades, 2 de ellas de severidad crítica y 1 de severidad alta. La explotación de estas vulnerabilidades podría permitir la escalada de privilegios o la ejecución remota de código.
- Para la CVE-2024-12727:
- Actualizar a las versiones 21 MR1 o posteriores;
- O en su lugar, aplicar el parche del 17/12/2024 para las versiones 21 GA, 20 GA, 20 MR1, 20 MR2, 20 MR3, 19.5 MR3, 19.5 MR4, 19.0 MR2.
- Para la CVE-2024-12728:
- Actualizar a las versiones 20 MR3, 21 MR1 o posteriores;
- O en su lugar, aplicar el parche del 26/11/2024 para las versiones 21 GA, 20 GA, 20 MR1, 19.5 GA, 19.5 MR1, 19.5 MR2, 19.5 MR3, 19.5 MR4, 19.0 MR2 y el parche del 27/11/2024 para las versión 20 MR2.
- Para la CVE-2024-12729:
- Actualizar a las versiones 21 MR1 o posteriores;
- O en su lugar, aplicar el parche del 04/12/2024 para las versiones 21 GA, 20 GA, 20 MR1, 20 MR2, el parche del 05/12/2024 para las versiones 19.5 GA, 19.5 MR1, 19.5 MR2, 19.5 MR3, 19.5 MR4, 19.0 MR2, 19.0 MR3 y el parche del 10/12/2024 para las versiones v20 MR3.
Los usuarios que tengan habilitada la función de actualizaciones automáticas no requieren de acciones manuales, es la opción recomendada por el fabricante.
Debido a una configuración específica de Secure PDF eXchange (SPX), y al utilizarse en conjunto con el modo de alta disponibilidad (HA) del firewall, se permite una vulnerabilidad de inyección SQL en la función de protección de correo electrónico. La explotación de esta vulnerabilidad podría permitir a un atacante acceder a la base de datos de informes de Sophos Firewall y realizar una ejecución remota de código.
Se han asignado los identificadores CVE-2024-12727 y CVE-2024-12728 respectivamente para estas vulnerabilidades críticas.
Permisos predeterminados incorrectos en Evoko Home de Biamp
- Evoko Home Service para Windows, versiones comprendidas entre la 2.4.2 y la 2.7.4.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta distintas versiones de Evoko Home, un sistema para gestionar los dispositivos de reserva de salas Liso instalados fuera de las salas de reuniones, la cual ha sido descubierta por Alexander Huaman.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2024-12903: CVSS v3.1: 7.8 | CVSS AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-276.
Actualmente no se dispone de solución, está planeado incluirla en la publicación del nuevo framework en 2025. Las medidas de mitigación temporales hasta que se lance la nueva versión, consiste en utilizar Ubuntu en lugar de Windows.
- CVE-2024-12903: vulnerabilidad de permisos predeterminados incorrectos en Evoko Home, que afecta a la versión 2.4.2 a 2.7.4. Un usuario que no sea administrador podría aprovechar permisos débiles de archivos y carpetas para escalar privilegios, ejecutar código arbitrario y mantener la persistencia en la máquina comprometida. Se ha identificado que existen permisos de control total sobre el grupo "Everyone" (es decir, cualquier usuario que tenga acceso local al sistema operativo independientemente de sus privilegios).
Vulnerabilidad de ejecución remota de código en Webmin
Webmin, versión sin especificar.
Ptrstr ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante remoto ejecutar código arbitrario.
Webmin ha publicado una actualización para corregir esta vulnerabilidad.
Vulnerabilidad en el manejo de peticiones CGI en Webmin, cuya explotación podría permitir a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas. El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de utilizarla para ejecutar una llamada al sistema.
Un atacante podría aprovechar esta vulnerabilidad para ejecutar código en el contexto de root. Se requiere autenticación para explotar esta vulnerabilidad.
Se ha asignado el identificador CVE-2024-12828 para esta vulnerabilidad.