Un nuevo aviso de seguridad y una actualización

Vulnerabilidad Server-Side Request Forgery en productos de Haivision

Fecha28/02/2024

Importancia3 - Media

Recursos Afectados

Aviwest Manager;
Aviwest Streamhub.

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Aviwest Manager y Aviwest Streamhub de Haivision, dos herramientas de monitorización de vídeo y gestión de dispositivos, la cual ha sido descubierta por Konrad Kowal Karp de Telefónica Tech.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

CVE-2024-1965: 6.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N | CWE-918

Solución

No hay solución reportada por el momento.

Detalle

CVE-2024-1965: vulnerabilidad de Server-Side Request Forgery en Aviwest Manager y Aviwest Steamhub de Haivision. Esta vulnerabilidad podría permitir a un atacante enumerar la configuración de la red interna sin necesidad de credenciales. Un atacante podría comprometer un servidor interno y recuperar las solicitudes enviadas por otros usuarios.

[Actualización 28/02/2024] Múltiples vulnerabilidades en JSA de Juniper

Fecha01/02/2024

Importancia5 - Crítica

Recursos Afectados

Juniper Networks Juniper Secure Analytics (JSA):

Log Collector, versión v1.8.4 y anteriores;
SOAR Plugin App versión 5.3.1 y anteriores;
Deployment Intelligence App, versión 3.0.12 y anteriores;
User Behavior Analytics Application add-on, versión 4.1.14 y anteriores;

[Actualización 28/02/2024]

Pulse Application add-on, versiones anteriores a 2.2.12;
Assistant Application add-on, versiones anteriores a 3.6.0;
Use Case Manager Application add-on, versiones anteriores a 3.9.0.

Descripción

Júniper ha publicado un informe de 20 vulnerabilidades de diferentes severidades, destacando 2 de ellas de severidad crítica.

Solución

Las siguientes versiones del software se han actualizado para resolver estos problemas específicos:

Disconnected Log Collector v1.8.4.
SOAR Plugin App v5.3.1.
Intelligence App v3.0.12.
Behavior Analytics v4.1.14.

[Actualización 28/02/2024]

Pulse App 2.2.12.
Assistant App 3.6.1.
Use Case Manager App 3.9.0.

Las actualizaciones de software pueden descargarse en https://support.juniper.net/support/downloads/

Detalle

La vulnerabilidad CVE-2023-37920, de severidad crítica, afecta a los certificados raíz de 'e-Tugra' del almacén raíz.
La vulnerabilidad CVE-2021-4048, de severidad crítica, provoca un fallo de lectura fuera de los límites en las funciones CLARRV, DLARRV, SLARRV y ZLARRV de 'lapack'. Esto podría hacer que una aplicación que utilice 'lapack' se bloquee o posiblemente revele partes de su memoria.