Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de seguridad

Índice

  • Boletín de seguridad de Android: septiembre de 2024
  • Múltiples vulnerabilidades en productos de D-Link
  • Cross-Site Scripting (XSS) en Raspcontrol

Boletín de seguridad de Android: septiembre de 2024

Fecha04/09/2024
Importancia5 - Crítica
Recursos Afectados
  • Android Open Source Project (AOSP): versiones 12, 12L, 13 y 14 (framework y system).
  • Actualizaciones del sistema Google Play.
  • Componentes de Kernel, Arm, MediaTek, Imagination Technologies, Unisoc y Qualcomm.
Descripción

El boletín de Android, relativo a septiembre de 2024, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, una divulgación de información o una denegación de servicio.

Solución

En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.

En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.

Detalle

Las 2 vulnerabilidades de severidad crítica, detectadas en componentes Qualcomm (subcomponente WLAN), consisten en desbordamientos de búfer en FM Host, lo que podría provocar la corrupción de la memoria. Se han asignado los identificadores CVE-2024-33042 y CVE-2024-33052 para estas vulnerabilidades.

Adicionalmente, en el framework del sistema operativo, se ha corregido una vulnerabilidad de severidad alta y tipo escalada local de privilegios sin necesidad de privilegios de ejecución adicionales, que se encontraba en explotación activa. Se ha asignado el identificador CVE-2024-32896 para esta vulnerabilidad.

El resto de identificadores CVE pueden consultarse en las referencias.

Múltiples vulnerabilidades en productos de D-Link

Fecha04/09/2024
Importancia5 - Crítica
Recursos Afectados
  • DIR-846W;
  • DNS-120;
  • DNR-202L;
  • DNS-315L;
  • DNS-320;
  • DNS-320L;
  • DNS-320LW;
  • DNS-321;
  • DNR-322L;
  • DNS-323;
  • DNS-325;
  • DNS-326;
  • DNS-327L;
  • DNR-326;
  • DNS-340L;
  • DNS-343;
  • DNS-345;
  • DNS-726-4;
  • DNS-1100-4;
  • DNS-1200-05;
  • DNS-1550-04.
     
Descripción

Varios productos de D-Link han llegado a su fin de vida y fin de servicio. En unos nuevos boletines de seguridad, D-Link ha publicado 8 vulnerabilidades, 4 de ellas críticas y las demás altas.

En la detección de algunas de estas vulnerabilidades ha participado el equipo VulDB CNA.

Solución

Los productos han llegado al final de su vida y soporte, no hay actualizaciones ni correcciones disponibles y el fabricante recomienda sutituirlos por otros dispositivos más recientes.

Detalle

Las vulnerabilidades críticas son:

  • CVE-2024-44341: DIR-846W contiene una vulnerabilidad de ejecución remota de comandos (RCE) a través del parámetro lan(0)_dhcps_staticlist. Esta vulnerabilidad se aprovecha mediante una solicitud POST manipulada.
  • CVE-2024-44342: DIR-846W contiene una vulnerabilidad de ejecución remota de comandos (RCE) a través del wl(0).(0)_ssid
  • CVE-2024-3272: problemas con el gestor de peticiones GET permiten la manipulación del argumento user en el bus de mensajes de entrada, lo que permitiría conseguir credenciales guardadas en el código.
  • CVE-2024-3273: problemas con el gestor de peticiones GET permiten la manipulación del argumento sytem en el bus de mensajes de entrada, lo que permitiría la ejecución de código en remoto.

El resto de vulnerabilidades no críticas se pueden consultar en las referencias.

Cross-Site Scripting (XSS) en Raspcontrol

Fecha04/09/2024
Importancia3 - Media
Recursos Afectados

RaspControl 1.0.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad de severidad media que afecta a RaspControl 1.0, la cual ha sido descubierta por Rafael Pedrero.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector CVSS y tipo de vulnerabilidad CWE para cada vulnerabilidad:

  • CVE-2024-8413: 5.4 | CVSS v3.1 AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N | CWE-79.
Solución

No hay solución reportada por el momento. 

Detalle

CVE-2024-8413: vulnerabilidad Cross-Site Scripting (XSS) a través del parámetro action en index.php. Base de código de producto afectado https://github.com/Bioshox/Raspcontrol y bifurcaciones como https://github.com/harmon25/raspcontrol. Un atacante podría aprovechar esta vulnerabilidad enviando una carga útil de JavaScript especialmente diseñada a un usuario autenticado y apoderándose parcialmente de los detalles de su sesión.