Dos nuevos avisos de seguridad
Vulnerabilidad de Cross-Site Scripting en Cockpit CMS
Cockpit CMS, versión 2.7.0.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad media que afecta a Cockpit CMS versión 2.7.0, un sistema de gestión de contenido autónomo simple y ligero creado para pequeñas y medianas empresas, la cual ha sido descubierta por Sergio Román Hurtado.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2024-2001: 5.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L | CWE-79.
No hay solución reportada por el momento.
- CVE-2024-2001: vulnerabilidad de Cross-Site Scripting en Cockpit CMS que afecta a la versión 2.7.0. Esta vulnerabilidad podría permitir a un usuario autenticado cargar un archivo PDF infectado y almacenar una carga maliciosa JavaScript que se ejecutará cuando se cargue el archivo.
Múltiples vulnerabilidades en Secure Analytics de Juniper
Estos problemas afectan a Juniper Networks Juniper Secure Analytics en todas las versiones anteriores a 7.5.0 UP7.
Juniper ha publicado 14 vulnerabilidades de las cuales 2 de ellas son de severidad crítica y el resto altas y medias.
Actualizar a Juniper Secure Analytics en 7.5.0 UP7 IF05 a una versión posterior.
Las actualizaciones de software están disponibles para descargar en https://support.juniper.net/support/downloads/
La vulnerabilidad de severidad alta CVE-2023-37920 afecta a Certifi, que es una colección seleccionada de certificados raíz para validar la confiabilidad de los certificados SSL, mientras se verifica la identidad de los hosts TLS. Certifi reconoce los certificados root "e-Tugra".
La vulnerabilidad de severidad CVE-2023-44981 es de tipo omisión de autorización a través de clave controlada por el usuario en Apache ZooKeeper. Si la autenticación SASL Quorum Peer está habilitada en ZooKeeper, la autorización se realiza verificando que la parte de la instancia en el ID de autenticación SASL aparece en la lista de servidores zoo.cfg.