Posted on

Vulnerabilidad en WordPress Core a través de Avatar Block

Se ha detectado una vulnerabilidad en WordPress Core que posibilita un ataque de Cross-Site Scripting vía Avatar Block.

Análisis

WordPress Core es vulnerable a Stored Cross-Site Scripting a través de nombres de usuario en el bloque Avatar en varias versiones hasta la 6.5.2 debido a un escape de salida insuficiente en el nombre de usuario. Esto hace posible que atacantes autenticados, con acceso a nivel de colaborador y superior, inyecten scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Además, también hace posible que atacantes no autenticados inyecten scripts web arbitrarios en páginas que tengan el bloque de comentarios presente y muestren el avatar del autor del comentario.

A esta vulnerabilidad se le ha asignado el siguiente código de puntuación, puntuación base CVSS v3.1 y vector del CVSS:

    • CVE-2024-4439: 7.2 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N

Recursos afectados

Las versiones afectadas son:

    • 6.0 – 6.0.7
    • 6.1 – 6.1.5
    • 6.2 – 6.2.4
    • 6.3 – 6.3.3
    • 6.4 – 6.4.3
    • 6.5 – 6.5.1

Recomendaciones

Actualizar a una de las siguientes versiones, o a una versión parcheada más reciente: 6.0.8, 6.1.6, 6.2.5, 6.3.4, 6.4.4, 6.5.2

 

Referencias

Posted on

Múltiples vulnerabilidades en ArubaOS de HPE Aruba

HPE ha publicado 10 vulnerabilidades: cuatro de severidad crítica y seis medias, que podrían dar lugar a una ejecución de código arbitrario y denegación de servicio (DoS).

Análisis

Las vulnerabilidades de severidad crítica son de tipo desbordamiento de búfer y su explotación podría dar lugar a una
ejecución de código arbitrario como usuario privilegiado en el sistema operativo subyacente.

Se han asignado los identificadores para estas vulnerabilidades:

    • CVE -2024-26304: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • CVE-2024-26305: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • CVE-2024-33511: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • CVE-2024-33512: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Recursos afectados

HPE Aruba Networking:

    •     Mobility Conductor (formerly Mobility Master);
    •     Mobility Controllers;
    •     WLAN Gateways and SD-WAN Gateways managed by Aruba Central.

Versiones software afectadas:

    •     ArubaOS 10.5.x.x: 10.5.1.0 y anteriores;
    •     ArubaOS 10.4.x.x: 10.4.1.0 y anteriores;
    •     ArubaOS 8.11.x.x: 8.11.2.1 y anteriores;
    •     ArubaOS 8.10.x.x: 8.10.0.10 y anteriores.

Todas las versiones software ArubaOS ySD-WAN (estas versiones se encuentran sin mantenimiento):

    •     ArubaOS 10.3.x.x;
    •     ArubaOS 8.9.x.x;
    •     ArubaOS 8.8.x.x;
    •     ArubaOS 8.7.x.x;
    •     ArubaOS 8.6.x.x;
    •     ArubaOS 6.5.4.x;
    •     SD-WAN 8.7.0.0-2.3.0.x;
    •     SD-WAN 8.6.0.4-2.2.x.x.

Recomendaciones

HPE Aruba Networking ha lanzado parches para ArubaOS que abordan múltiples vulnerabilidades de seguridad.

 

Referencias

Posted on

CSIRT-CV publica un nuevo curso sobre el gestor de contraseñas: KeePass

El primer jueves de cada mes de mayo se celebra a nivel mundial el Día de la Contraseña. Una fecha celebrada por entes públicos y privados con el objetivo de concienciar a la población sobre la importancia de proteger nuestros datos. Proteger y blindar nuestra información supone minimizar y evitar ciberataques que pudieran comprometer información sensible como son nuestras claves de acceso a nuestras cuentas bancarias.

 

Por este motivo, desde CSIRT-CV hemos publicado un nuevo curso online de una hora de duración sobre uno de los gestores gratuitos de contraseñas al alcance de cualquier usuario: KeePass.

 

KeePass es una herramienta segura, de código abierto y multiplataforma, que está disponible para Windows y Linux.

 

Esta herramienta mejora la seguridad en las contraseñas al generar una nueva contraseña para cada cuenta de cualquier aplicación de más de 20 caracteres que el usuario ingrese.

 

Otra de las ventajas de los gestores en general es que tan solo es necesario recordar la contraseña maestra del programa.

 

Además, cabe tener en cuenta que KeePass guarda la base de datos o contraseñas en local, por lo que si se desea acceder desde otros equipos o dispositivos es necesario copiarla y almacenarla ya sea en USB o la nube para luego poder acceder a través de la herramienta y la contraseña de acceso.

 

Descubre todas las ventajas que este gestor de contraseñas aporta en tu día a día, tanto a nivel personal como laboral, y garantiza la seguridad de tu información con este curso de KeePass elaborado por CSIRT-CV.

 

Posted on

Publicación boletín mensual

Hoy hemos emitido un nuevo boletín mensual con muchos consejos sobre ciberseguridad.

Todos los suscriptores del boletín mensual del CSIRT-CV han recibido el último ejemplar en sus correos.

Si queréis ser de los primeros en recibir nuestra publicación, podéis suscribiros aquí o, si preferís leerlo en nuestra página podéis hacerlo desde este enlace.