Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Comunicación del servidor no autenticada en D-Link D-View 8

Fecha29/12/2023
Importancia5 - Crítica
Recursos Afectados

D-View 8, versiones 2.0.2.89 y anteriores.

Descripción

El equipo de investigación de Tenable ha publicado una vulnerabilidad crítica que afecta al software de administración de red D-View 8 del fabricante D-Link.

Solución

El fabricante no ha respondido a los intentos de divulgación de esta vulnerabilidad por parte de Tenable. Por lo tanto, no hay disponible ningún parche o solución en este momento.

Detalle

La vulnerabilidad podría permitir a un atacante manipular el inventario de sondas del servicio D-View 8. Esta manipulación, no autorizada, podría permitir al atacante divulgar información de otras sondas, además de realizar una denegación de servicio (DoS) debido a que el inventario de sondas se llena, o ejecutar tareas en otras sondas. Se ha asignado el identificador CVE-2023-7163 para esta vulnerabilidad.

Múltiples vulnerabilidades en Juniper Secure Analytics

Fecha29/12/2023
Importancia5 - Crítica
Recursos Afectados
  • Juniper Secure Analytics, versiones hasta 7.5.0 UP7.
Descripción

Se han reportado 18 vulnerabilidades en Juniper Secure Analytics, de las cuales: 2 son de severidad baja, 7 de severidad media, 7 de severidad alta, y 2 de severidad crítica.

Solución

Se han resuelto las vulnerabilidades reportadas en Juniper Secure Analytics versión 7.5.0 UP7 IF03.

Detalle

Las vulnerabilidades de severidad crítica cuentan con la siguiente descripción:

  • En SpringBlade V3.6.0, cuando se ejecuta una consulta SQL, los parámetros enviados por el usuario no van entre comillas, lo que provoca una inyección SQL. Se ha asignado el identificador CVE-2023-40787 para esta vulnerabilidad.
  • El marshaller del protocolo Java OpenWire es vulnerable a una ejecución remota de código. Esta vulnerabilidad podría permitir a un atacante remoto con acceso de red a un cliente o a un broker OpenWire basado en Java ejecutar comandos shell arbitrarios, manipulando tipos de clase serializados en el protocolo OpenWire para hacer que el cliente o el broker (respectivamente) instancien cualquier clase en el classpath.  Se ha asignado el identificador CVE-2023-46604 para esta vulnerabilidad.

Para más información acerca del resto de CVE cuya severidad no es crítica, consultar las referencias.