botón arriba

Dos nuevos avisos de seguridad

Múltiples vulnerabilidades en Mail Station de Synology

Fecha28/06/2023
Importancia5 - Crítica
Recursos Afectados
  • Mail Station para Synology DiskStation Manager (DSM), versiones:
    • 6.2;
    • 7.0;
    • 7.1;
    • 7.2.
Descripción

Synology ha publicado varias vulnerabilidades de severidad crítica que afectan a distintas versiones de Mail Station para DSM, las cuales podrían permitir una inyección SQL.

Solución

Synology ha lanzado distintas versiones de software para solucionar el problema:

  • para los dispositivos con versión 6.2, actualizar a la versión 20230626-0322 o superior;
  • para los dispositivos con versión 7.0, actualizar a la versión 20230626-10322 o superior;
  • para los dispositivos con versión 7.1, actualizar a la versión 20230626-10322 o superior;
  • para los dispositivos con versión 7.2, actualizar a la versión 20230626-20322 o superior.
Detalle

Las vulnerabilidades de severidad crítica, podrían permitir a un atacante remoto inyectar comandos SQL, así como inyectar scripts o HTML arbitrarios a través de una versión susceptible de Mail Station.

Control de acceso inadecuado en productos de By Demes Group

Fecha28/06/2023
Importancia4 - Alta
Recursos Afectados

Panel de Control de Cámaras de Airspace CCTV, versión 2.616.BY00.11

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta al panel desde el que se gestionan varios modelos de cámaras CCTV de By Demes Group, la cual ha sido descubierta por Camilo Andrés Bruna de Zerolynx.

A esta vulnerabilidad se le ha asignado el código:

CVE-2023-0506:

  • Puntuación base CVSS v3.1: 8.8.
  • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H,
  • Tipo de vulnerabilidad: CWE-284: Control de Acceso Inadecuado.
Solución

La vulnerabilidad reportada ya ha sido solucionada por parte del equipo de seguridad de By Demes Group. Se recomienda a los usuarios afectados actualizar a la última versión disponible.

By Demes Group recuerda que los dispositivos afectados se encuentran en el fin de su vida útil y ya no son soportados, por lo que se recomienda actualizar a un modelo más moderno.

Detalle

CVE-2023-0506: el servicio web de los dispositivos afectados en su versión 2.616.BY00.11, contiene una vulnerabilidad de escalada de privilegios, detectada en el Panel de Control de Cámaras, cuya explotación podría permitir a un atacante con pocos privilegios obtener acceso como administrador.