Un nuevo aviso de seguridad y una actualización
Índice
- [Actualización 01/04/2025] Múltiples vulnerabilidades en productos Fortinet
- Múltiples vulnerabilidades en productos Apple
[Actualización 01/04/2025] Múltiples vulnerabilidades en productos Fortinet
- FortiOS:
- desde 7.00 hasta 7.0.16.
- FortiProxy:
- desde 7.0.0 hasta 7.0.19.
- desde 7.2.0 hasta 7.2.12.
- FortiSwitch:
- desde 6.0.0 hasta 6.0.7.
- desde 6.2.0 hasta 6.2.7.
- desde 6.4.0 hasta 6.4.13.
- desde 7.0.0 hasta 7.0.7.
- desde 7.2.0 hasta 7.2.5.
- 7.4.0
Fortinet ha publicado 2 vulnerabilidades de severidad crítica que afectan a FortiOS, FortiProxy y FortiSwitch, y cuya explotación podría permitir a un atacante remoto obtener privilegios o ejecutar código no autorizado.
En el momento de la divulgación de este aviso, el fabricante tiene conocimiento de que la vulnerabilidad crítica CVE-2024-55591 está siendo explotada.
[Actualización 01/04/2025]
Fortinet ha publicado una nueva vulnerabilidad de severidad alta que afecta a FortiOS y FortiProxy que podría estar siendo explotada.
- FortiOS:
- actualizar a la versión 7.0.17 o superior.
- FortiProxy:
- actualizar a la versión 7.0.20 o superior.
- actualizar a la versión 7.2.13 o superior.
- FortiSwitch:
- migrar a una versión correctora.
- actualizar a la versión 6.2.8 o superior.
- actualizar a la versión 6.4.14 o superior.
- actualizar a la versión 7.0.8 o superior.
- actualizar a la versión 7.2.6 o superior.
- actualizar a la versión 7.4.1 o superior.
- Una vulnerabilidad de omisión de autenticación, mediante una ruta o canal alternativo, podría permitir a un atacante remoto obtener privilegios de superadministrador a través de solicitudes manipuladas al módulo websocket de Node.js. Se ha asignado el identificador CVE-2024-55591 para esta vulnerabilidad.
- Vulnerabilidad de uso de clave criptográfica codificada podría permitir a un atacante remoto no autenticado, en posesión de la clave, ejecutar código no autorizado a través de peticiones criptográficas manipuladas. Se ha asignado el identificador CVE-2023-37936 para esta vulnerabilidad.
- [Actualización 01/04/2025] Una vulnerabilidad de severidad alta de omisión de autenticación, mediante una ruta o canal alternativo, podría permitir a un atacante remoto obtener privilegios de superadministrador a través de solicitudes de proxy CSF diseñadas. Se ha asignado el identificador CVE-2025-24472 para esta vulnerabilidad.
Múltiples vulnerabilidades en productos Apple
- Safari, versiones anteriores a la 18.4;
- Xcode, versiones anteriores a la 16.3;
- iOS, versiones anteriores a:
- 18.4;
- 16.7.11;
- 15.8.4;
- iPadOS, versiones anteriores a:
- 18.4;
- 16.7.11;
- 15.8.4;
- macOS Sequoia, versiones anteriores a 15.4;
- macOS Sonoma, versiones anteriores a 14.7.5;
- macOS Ventura, versiones anteriores a 13.7.5;
- tvOS, versiones anteriores a 18.4;
- visionOS, versiones anteriores a 2.4.
Apple ha identificado y corregido múltiples vulnerabilidades que afectan a varios de sus sistemas. Varias de las vulnerabilidades resueltas son críticas y, entre otras acciones, podrían revelar información sensible, permitir la ejecución de código arbitrario o finalizar la ejecución del sistema.
Hay sospechas de que algunas de estas vulnerabilidades estén siendo explotadas, por lo que se recomienda actualizar los productos con la mayor brevedad posible.
Actualizar a las últimas versiones de los productos:
- Safari 18.4.
- Xcode 16.3.
- iOS, versiones:
- 18.4;
- 16.7.11;
- 15.8.4.
- iPadOS, versiones:
- 18.4;
- 16.7.11;
- 15.8.4.
- macOS Sequoia 15.4.
- macOS Sonoma 14.7.5.
- macOS Ventura 13.7.5.
- tvOS 18.4.
- visionOS 2.4.
Para cada producto las actualizaciones realizadas han sido:
- Safari 18.4: disponible en macOS Ventura y macOS Sonoma. Se han resuelto un total de 13 vulnerabilidades que afectan al producto o alguno de sus componentes como WebKit.
- Xcode 16.3: disponible en macOS Sequoia. Se han resuelto 2 vulnerabilidades, ninguna de ellas crítica.
- iOS 18.4 e iPadOS18.4: disponible en iPhone XS y posteriores, iPad Pro 13 pulgadas, iPad Pro 12.9 pulgadas 3ª generación y posteriores iPad Pro 11 pulgadas 1ª generación y posteriores, iPad Air 3ª generación y posteriores, iPad 7ª generación y posteriores, e iPad mini 5ª generación y posteriores. Se han resuelto 60 vulnerabilidades que afectan a diferentes componentes y librerías del producto como, Safari, WebKit, Siri, Servicios de Autenticación, etc.
- iPadOS 17.7.6: disponible en iPad Pro 12.9 pulgadas 2ª generación, iPad Pro 10.5 pulgadas e iPad 6ª generación. Se han resuelto 35 vulnerabilidades que afectan a diferentes componentes y librerías del producto como Safari, WebKit, Siri, Photos, etc.
- iOS 16.7.11 e iPadOS 16.7.11: disponible en Phone 8, iPhone 8 Plus, iPhone X, iPad 5ª generación, iPad Pro 9.7 pulgadas e iPad Pro 12.9 pulgadas 1ª generación. Se han resuelto 2 vulnerabilidades, ninguna de ellas crítica.
- iOS 15.8.4 e iPadOS 15.8.4: disponible en iPhone 6s (todos los modelos), iPhone 7 (todos los modelos), iPhone SE (1ª generación), iPad Air 2, iPad mini (4ª generación) e iPod touch (7ª generación). Se han resuelto 2 vulnerabilidades, ninguna de ellas crítica.
- macOS Sequoia 15.4: disponible en macOS Sequoia. Se han resuelto 139 vulnerabilidades que afectan a diferentes componentes y librerías del producto como Safari, WebKit, Siri el Kernel, etc.
- macOS Sonoma 14.7.5: disponible en macOS Sonoma. Se han resuelto 95 vulnerabilidades que afectan a diferentes componentes y librerías del producto como el Kernel, Siri, Sandbox, CoreMedia, etc.
- macOS Ventura 13.7.5: disponible en macOS Ventura. Se han resuelto 85 vulnerabilidades que afectan a diferentes componentes y librerías del producto como el Kernel, Siri, Sandbox, CoreMedia, etc.
- tv OS 18.4: disponible en Apple TV HD y Apple TV 4K (todos los modelos). Se han resuelto 42 vulnerabilidades que afectan a diferentes componentes y librerías del producto como Siri, WebKit, CoreMedia, etc.
- visionOS 2.4: disponible en Apple Vision Pro. Se han resuelto 44 vulnerabilidades que afectan a diferentes componentes y librerías del producto como Safari, Siri, WebKit, CoreMedia, etc.
Puede obtener más información de las actualizaciones de cada producto en los enlaces de las referencias.