Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de seguridad

Múltiples vulnerabilidades en productos Dell

Fecha10/12/2024
Importancia5 - Crítica
Recursos Afectados
  • Dell PowerFlex:
    • Intelligent Catalog, versiones anteriores a:
      • 46.381.00;
      • 46.376.00.
    • Release Certification Matrix, versiones anteriores a:
      • 3.8.1.0;
      • 3.7.6.0.
    • PowerFlex Manager, versiones anteriores a 4.6.1.0.
  • Dell InsightIQ, versiones anteriores a 5.1.1.
  • Dell Data Lakehouse, versiones anteriores a 1.2.0.0.
Descripción

Dell ha publicado información sobre 2 vulnerabilidades, una de severidad crítica y otra alta, que afectan a varios de sus productos, cuya explotación podría permitir a un atacante comprometer los sistemas afectados.

Solución

Actualizar los productos afectados a las siguientes versiones o posteriores:

  • Dell PowerFlex:
    • Intelligent Catalog:
      • 46.381.00;
      • 46.376.00.
    • Release Certification Matrix:
      • 3.8.1.0;
      • 3.7.6.0.
    • PowerFlex Manager, 4.6.1.0.
  • Dell InsightIQ, 5.1.1;
  • Dell Data Lakehouse, 1.2.0.0.
Detalle

Una vulnerabilidad crítica identificada en la resolución incorrecta de enlaces antes del acceso a archivos podría permitir a un atacante, remoto y no autenticado, explotarla para ejecutar código arbitrario en el sistema. Se ha asignado el identificador CVE-2024-37143 para esta vulnerabilidad.

La vulnerabilidad de severidad alta tiene asignado el identificador CVE-2024-37144.

Actualización de seguridad de SAP de diciembre de 2024

Fecha10/12/2024
Importancia5 - Crítica
Recursos Afectados
  • SAP NetWeaver AS para JAVA (Adobe Document Services), versión ADSSSAP 7.50.
  • SAP NetWeaver Administrator (System Overview), versión LM-CORE 7.50
  • SAP NetWeaver AS JAVA, versión LM-CORE 7.50
  • SAP Web Dispatcher, versiones:
    • WEBDISP 7.77, 7.89, 7.93;
    • KERNEL 7.77, 7.89, 7.93, 9.12, 9.13.
  • SAP NetWeaver Application Server ABAP, versiones:
    • KRNL64NUC 7.22, 7.22EXT;
    • KRNL64UC 7.22, 7.22EXT, 7.53;
    • KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93.
  • SAP NetWeaver Application Server para ABAP y ABAP Platform, versiones:
    • KRNL64NUC 7.22 y 7.22EXT;
    • KRNL64UC 7.22, 7.22EXT, 7.53 y 8.04;
    • KERNEL 7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 8.04, 9.12 y 9.13;
    • SAP_BASIS 740 y 750.
  • SAP BusinessObjects Business Intelligence platform, versiones: ENTERPRISE 430 y 2025.
  • SAP HCM, versión S4HCMGXX 101.
  • SAP Product Lifecycle Costing, versión: PLC_CLIENT 4.
  • SAP Commerce Cloud, versiones:
    • HY_COM 2205;
    • COM_CLOUD 2211.
Descripción

SAP ha publicado su boletín mensual en el que se incluyen 10 vulnerabilidades, una de severidad crítica, dos altas y el resto medias y bajas. Además, se actualizan 3 vulnerabilidades, dos con severidad alta y una media. Estas vulnerabilidades afectan a varios de sus productos y su explotación podría permitir a un atacante comprometer los sistemas afectados.

Solución

SAP recomienda encarecidamente que el cliente visite el portal de Soporte y aplique los parches de forma prioritaria para proteger su entorno SAP.

Detalle

En SAP NetWeaver AS for JAVA (Adobe Document Services) 7.50, un atacante con privilegios de administrador podría enviar peticiones personalizadas desde una aplicación web vulnerable, otorgando la posibilidad de atacar sistemas internos que normalmente se encuentran protegidos por cortafuegos y no son accesibles para atacantes externos. Si se explotara con éxito, el atacante podría leer o modificar cualquier archivo y/o hacer que todo el sistema no esté disponible. Se ha asignado el identificador CVE-2024-47578 para esta vulnerabilidad.

El resto de vulnerabilidades con identificador no crítico pueden consultarse en las referencias.