Alertas de seguridad

Christian Angulo - Consultor de Seguridad

Entradas recientes de Christian Angulo - Consultor de Seguridad:

Vulnerabilidad en IBM Spectrum Protect Plus

IBM Spectrum Protect Plus 10.1.0 a 10.1.6 podría permitir que un atacante remoto obtenga información confidencial, debido a la falla al habilitar correctamente la seguridad de transporte estricto de HTTP.

Un atacante podría aprovechar esta vulnerabilidad para obtener información confidencial utilizando técnicas de hombre en el medio. IBM X-Force ID: 189214. Para explotar esta vulnerabilidad no se requiere autenticación y no hay un impacto mayor en la integridad ni la disponibilidad del sistema, pero afecta parcialmente la confidencialidad del sistema.

Escalada de Privilegios en Apache HTTP Server

El Apache Server HTTP en sus versiones 2.4.20 a la 2.4.43, presenta fallos de seguridad cuando se habilita el trace/debug para el módulo HTTP/2 y en ciertos patrones de tráfico de borde se realizaron acciones de registro en la conexión incorrecta, lo que provocó el uso concurrente de grupos de memoria.

Vulnerabilidades en Magento

Magento, uno de los gestores de contenido de E-COMMERCE para tiendas online más importantes a nivel mundial, ha publicado actualizaciones para sus diferentes plataformas, con el fin de evitar que algún atacante explote varias vulnerabilidades que le permitirían ejecutar código malicioso.

Inyección SQL en phpMyAdmin

Las versiones anteriores a la 4.9.2 de phpMyAdmin son vulnerables a inyección de SQL debido a que se puede usar un nombre de base de datos especialmente diseñada para desencadenar un ataque de inyección SQL, a través de la característica del diseñador.

Vulnerabilidad en Wiresharkst

En 15 versiones de Wireshark de la 3.0.0 hasta 3.0.3 y de la 2.6.0 hasta 2.6.10, el disector Gryphon tiene la posibilidad de caer en un ciclo infinito. Se identificó en el archivo plugins/epan/gryphon/packet-gryphon.c mediante la comprobación de la longitud de un mensaje de cero.

Temas: vulnerabilidad de seguridad Vulnerabilidad en Wiresharkst

Vulnerabilidad en CRM Zoho ManageEngine

¿En qué consiste la vulnerabilidad de Zoho?


Zoho es un CRM que está en auge debido a su funcionalidad y fácil manejo de los módulos que tienen que ver con el relacionamiento con los clientes. Es por este crecimiento que empezó a convertirse en el blanco de los atacantes. El CVE-2019-12476 hace referencia a una
vulnerabilidad de omisión de identificación en el restablecimiento de contraseña en Zoho MangeEngine ADSelfService Plus, que se encuentra en versiones inferiores a la 5.0.6. De esta manera, un atacante con acceso físico puede obtener un Shell con privilegios del sistema.