Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Consumo de recursos en scdbg de Sandsprite

Fecha16/01/2024
Importancia4 - Alta
Recursos Afectados

Scdbg, versión 1.0.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a scdbg v1.0, una herramienta para analizar código shell, la cual ha sido descubierta por Rafael Pedrero.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-0581: 4.0 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L | CWE-400. 
Solución

La vulnerabilidad reportada ha sido solucionada. Se recomienda actualizar a la última versión de software del producto afectado.

Detalle

CVE-2024-0581: consumo incontrolado de recursos en scdbg de Sandsprite, que afecta a la versión 1.0. Esta vulnerabilidad permite a un atacante enviar una carga útil de código shell especialmente diseñada al parámetro ‘/foff’ y provocar el cierre de la aplicación. Un programa malicioso podría utilizar esta secuencia de código shell para cerrar la aplicación y evadir el escaneo.

Omisión de autorización mediante clave controlada en Qsige

Fecha16/01/2024
Importancia3 - Media
Recursos Afectados

Sinergia, Sinergia 2.0, y Sinergia Corporativo.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a QSige de IDSistemas, un sistema inteligente de gestión de esperas y colas, la cual ha sido descubierta por Oscar Atienza.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-0580: 6.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N | CWE-639. 
Solución

Actualizar el módulo 'localizador' del producto afectado.

El 23 de junio de 2023 se aplicó un parche a este módulo. Se puede consultar el enlace (https://web/qsige.localizador/about) para obtener más detalles. Si se está utilizando una versión anterior, se puede comunicar con IDM para actualizar el sistema.

Detalle

CVE-2024-0580: omisión de autorización mediante clave controlada por el usuario en la plataforma IDMSistemas, afectando al producto QSige. Esta vulnerabilidad permite a un atacante extraer información confidencial de la API, realizando una solicitud al parámetro '/qsige.locator/quotePrevious/centers/X', donde X admite los valores 1,2,3, etc. Ejemplo: https://web/qsige.localizador/citaPrevia/centros/1.

Múltiples vulnerabilidades en productos de Atlassian

Fecha16/01/2024
Importancia4 - Alta
Recursos Afectados
  • Confluence Data Center, versión 7.19.0 (CVE-2023-22526).
  • Confluence Data Center y Server, versión 2.1.0 (CVE-2024-21672).
Descripción

Atlasian ha publicado su boletín de seguridad con 28 vulnerabilidades de gravedad alta, de las cuales destacan dos (CVE-2023-22526 y CVE-2024-21672), que podrían permitir la ejecución remota de código en el centro de datos y el servidor de Confluence.

Solución

Se recomienda aplicar parches y actualizaciones publicados por Atlassian.

Detalle

La vulnerabilidad CVE-2024-21672 permite que un atacante, no autenticado, exponga de forma remota activos en su entorno susceptibles de explotación, lo que tiene un alto impacto en la confidencialidad, integridad y disponibilidad y requiere la interacción del usuario.

La vulnerabilidad CVE-2023-22526 permite a un atacante autenticado ejecutar código arbitrario, lo que tiene un alto impacto en la confidencialidad, integridad y disponibilidad y no requiere interacción del usuario.