Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

• Vulnerabilidad en JBoss EAP y WildFly 11+ (CVE-2022-0866)
  Severidad: MEDIA
  Fecha de publicación: 10/05/2022
  Fecha de última actualización: 06/11/2025
  Esto es un problema de concurrencia que puede resultar en que sea devuelto el caller principal incorrecto desde el contexto de sesión de un EJB que está configurado con un principal RunAs. En particular, la clase org.jboss.as.ejb3.component.EJBComponent presenta un campo incomingRunAsIdentity. Este campo es usado por el org.jboss.as.ejb3.security.RunAsPrincipalInterceptor para mantener un registro de la identidad actual antes de cambiar a una nueva identidad creada usando el principal RunAs. La explotación consiste en que el campo EJBComponent#incomingRunAsIdentity es actualmente sólo un SecurityIdentity. Esto significa que en un entorno concurrente, en el que varios usuarios invocan repetidamente un EJB configurado con una entidad de seguridad RunAs, es posible que sea devuelta una entidad de seguridad incorrecta desde EJBComponent#getCallerPrincipal. Del mismo modo, también es posible que EJBComponent#isCallerInRole devuelva un valor incorrecto. Ambos métodos dependen de incomingRunAsIdentity. Afecta a todas las versiones de JBoss EAP a partir de la 7.1.0 y a todas las versiones de WildFly 11+ cuando Elytron está habilitado
  
• Vulnerabilidad en Asterisk v22 (CVE-2024-57520)
  Severidad: CRÍTICA
  Fecha de publicación: 05/02/2025
  Fecha de última actualización: 06/11/2025
  La vulnerabilidad de permisos inseguros en Asterisk v22 permite que un atacante remoto ejecute código arbitrario a través de la función action_createconfig