Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Índice

  • Modificación controlada incorrectamente de atributos en Django-Unicorn
  • Boletín de seguridad de Android: febrero de 2025

Modificación controlada incorrectamente de atributos en Django-Unicorn

Fecha04/02/2025
Importancia5 - Crítica
Recursos Afectados

Django-unicorn: versiones anteriores a 0.62.0.

Descripción

Superboy-zjc y Jackfromeast han reportado una vulnerabilidad de severidad crítica que, de ser explotada, podría permitir un ataque de secuencia de comandos entre sitios (XSS), denegación de servicio (DoS) y omisión de autenticación en casi todas las aplicaciones.

Solución

Actualizar a la versión parcheada 0.62.0.

Detalle

La vulnerabilidad, de tipo modificación controlada incorrectamente de atributos de objetos determinados dinámicamente, surge de la funcionalidad principal set_property_value, que puede ser activada de forma remota por los usuarios al crear solicitudes de componentes apropiadas y suministrar valores para el segundo y tercer parámetro de la función vulnerable, lo que permite cambios arbitrarios en el estado de ejecución de Python."

Se ha asignado el identificador CVE-2025-24370 para esta vulnerabilidad. 

Boletín de seguridad de Android: febrero de 2025

Fecha04/02/2025
Importancia4 - Alta
Recursos Afectados
  • Android Open Source Project (AOSP): versiones 12, 12L, 13, 14 y 15 (framework, plataforma y sistema).
  • Google Play.
  • Subcomponentes UVC y mremap del Kernel.
  • Componentes de Arm, Imagination Technologies, MediaTek, Unisoc y Qualcomm.
Descripción

El boletín de Android, relativo a febrero de 2025, soluciona múltiples vulnerabilidades de severidades críticas y altas que afectan a su sistema operativo, así como a diversos componentes, y que podrían provocar graves problemas como escalada de privilegios, ejecución remota de código, corrupción de memoria, caída del sistema, ganar acceso no autorizado a información sensible.

Solución

En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.

En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.

Detalle

Existe una vulnerabilidad de severidad crítica en componentes de Qualcomm que pueden sufrir corrupción de memoria al analizar el ML IE ("Multi-Link Information Element") debido a contenido de marco inválido. Se ha asignado el identificador CVE-2024-45569 para esta vulnerabilidad.

El resto de identificadores CVE pueden consultarse en las referencias.