Dos nuevos avisos de seguridad
Índice
- Múltiples vulnerabilidades en productos de HPE
- Múltiples vulnerabilidades en h6web de Grupo Anapi
Múltiples vulnerabilidades en productos de HPE
Versiones anteriores a la 3.1.13 de los productos:
- HPE Unified OSS Console (UOC);
- HPE Unified OSS Console Software Series.
HPE ha identificado 4 vulnerabilidades, 2 de severidad crítica, una media y otra baja en HPE Unified OSS Console (UOC) y HPE Unified OSS Console Assurance Monitoring (UOCAM), que podrían permitir una ejecución de código remoto (RCE) y una denegación de servicio (DoS).
Actualizar a la versión 3.1.13 los productos afectados.
Las vulnerabilidades de severidad crítica en Apache Tomcat ocurren debido a una condición de carrera entre el tiempo de uso y el tiempo de verificación. Este problema podría permitir una ejecución remota de código o causar una denegación de servicio. La falla se debe a que el sistema no diferencia entre mayúsculas y minúsculas en ciertas operaciones cuando el servlet predeterminado tiene permisos de escritura, lo cual no es la configuración por defecto.
Se han asignado los identificadores 2024-56337 y CVE-2024-50379 para estas vulnerabilidades.
Múltiples vulnerabilidades en h6web de Grupo Anapi
- Aplicación h6web.
INCIBE ha coordinado la publicación de 2 vulnerabilidades: una de severidad crítica y otra de severidad media, que afectan a h6web de Grupo Anapi, una aplicación para gestionar cofradías y pagos en línea, las cuales han sido descubierta por Bertrand Lorente Yáñez.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2025-1270: CVSS v3.1: 9.1 | CVSS AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L | CWE-639
- CVE-2025-1271: CVSS v3.1: 6.1 | CVSS AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79
El equipo de Grupo Anapi ha tomado las siguientes medidas:
- la vulnerabilidad de Insecure Direct Object Reference ha sido deshabilitada por completo;
- la vulnerabilidad de Cross-Site Scripting (XSS) ha sido solucionada en la última versión.
- CVE-2025-1270: la vulnerabilidad de referencia directa insegura a objetos (IDOR) en H6Web del grupo Anapi permite a un atacante autenticado acceder a la información de otros usuarios mediante una petición POST y la modificación del parámetro "pkrelacionado" en el endpoint "/h6web/ha_datos_hermano.php" para hacer referencia a otro usuario. Además, la primera solicitud también podría permitir al atacante suplantar la identidad de otros usuarios. Como resultado, todas las solicitudes realizadas después de la explotación de la vulnerabilidad IDOR se ejecutarán con los privilegios del usuario suplantado.
- CVE-2025-1271: Cross-Site Scripting (XSS) reflejado en h6web del Grupo Anapi. Este fallo de seguridad podría permitir a un atacante inyectar código JavaScript malicioso en una URL. Cuando un usuario accede a dicha URL, el código inyectado se ejecuta en su navegador, lo que puede derivar en el robo de información sensible, la suplantación de identidad o la ejecución de acciones no autorizadas en nombre del usuario afectado.