botón arriba

Dos nuevos avisos de seguridad

Múltiples vulnerabilidades en productos Juniper Networks

Fecha21/08/2023
Importancia5 - Crítica
Recursos Afectados
  • Juniper Networks Junos OS en SRX Series:
    • todas las versiones anteriores a 20.4R3-S8;
    • versiones anteriores a 21.2R3-S6;
    • versiones anteriores a 21.3R3-S5;
    • versiones anteriores a 21.4R3-S5;
    • versiones anteriores a 22.1R3-S3;
    • versiones anteriores a 22.2R3-S2;
    • versiones anteriores a 22.3R2-S2 y 22.3R3;
    • versiones anteriores a 22.4R2-S1 y 22.4R3.
  • Juniper Networks Junos OS en EX Series:
    • todas las versiones anteriores a 20.4R3-S8;
    • versiones anteriores a 21.2R3-S6;
    • versiones anteriores a 21.3R3-S5;
    • versiones anteriores a 21.4R3-S4;
    • versiones anteriores a 22.1R3-S3;
    • versiones anteriores a 22.2R3-S1;
    • versiones anteriores a 22.3R2-S2 y 22.3R3;
    • versiones anteriores a 22.4R2-S1 y 22.4R3.
Descripción

LYS, trabajando con el programa de formación DEVCORE, ha reportado 4 vulnerabilidades que, combinadas, podrían permitir a un atacante realizar una ejecución remota de código (RCE).

Solución
  • Para productos de EX Series, actualizar a las versiones (y posteriores): 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S4, 22.1R3-S3, 22.2R3-S1, 22.3R2-S2, 22.3R3, 22.4R2-S1, 22.4R3 y 23.2R1.
  • Para productos de SRX Series, actualizar a las versiones (y posteriores): 20.4R3-S8, 21.2R3-S6, 21.3R3-S5, 21.4R3-S5, 22.1R3-S3, 22.2R3-S2, 22.3R2-S2, 22.3R3, 22.4R2-S1, 22.4R3 y 23.2R1.
Detalle
  • Dos vulnerabilidades afectan a una variable externa PHP, cuya explotación podría permitir a un atacante modificar variables de entorno PHP, provocando una pérdida parcial de integridad. Se han asignado los identificadores CVE-2023-36844 y CVE-2023-36845 para estas vulnerabilidades.
  • habilitaríanLa falta de autenticación para una función crítica de las otras dos vulnerabilidades habilitaría a un atacante para subir archivos arbitrarios vía J-Web, conllevando una pérdida parcial de la integridad del sistema de ficheros. Se han asignado los identificadores CVE-2023-36846 y CVE-2023-36847 para estas vulnerabilidades.

Múltiples vulnerabilidades en Moodle

Fecha21/08/2023
Importancia4 - Alta
Recursos Afectados

Las siguientes versiones de Moodle se ven afectadas:

  • desde 4.2 hasta 4.2.1;
  • desde 4.1 hasta 4.1.4;
  • desde 4.0 hasta 4.0.9;
  • desde 3.11 hasta 3.11.15;
  • desde 3.9 hasta 3.9.22;
  • versiones anteriores sin soporte.
Descripción

Varios investigadores han reportado 5 vulnerabilidades de severidad alta y varias bajas que se pueden consultar en la web de avisos de Moodle.

Solución

Actualizar a las versiones 4.2.2, 4.1.5, 4.0.10, 3.11.16 y 3.9.23.

Detalle

Las vulnerabilidades de severidad alta podrían permitir a un atacante realizar un ataque de XSS vía OAuth 2, una inyección SQL, una ejecución remota de código o acceder a hosts teóricamente bloqueados por el proxy. Se han asignado los identificadores CVE-2022-39369, CVE-2023-40320, CVE-2023-40319, CVE-2023-40317 y CVE-2023-40316 para estas vulnerabilidades.