Novedades

• GRAVEDAD: 9.8

• CVES RELACIONADOS: CVE-2017-12239
CVE-2017-12236
CVE-2017-12222
CVE-2017-12226
CVE-2017-12228
CVE-2017-12240
CVE-2017-12237

• FECHA DIVULGACIÓN: 27/09/2022

• ACTUALIZACIÓN: 17/12/2022

• RESUMEN: La vulnerabilidad se debe a una condición de desbordamiento del búfer en el subsistema de retransmisión DHCP del software afectado.

• PRODUCTO AFECTADO: Cisco IOS and IOS XE

• CAUSAS: Improper Input Validation

• CONSECUENCIAS: Un atacante podría explotar esta vulnerabilidad enviando un paquete DHCP Versión 4 ( DHCPv4 ) elaborado a un sistema afectado. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario y obtener el control total del sistema afectado o hacer que el sistema afectado se recargue, lo que resulta en una condición DoS.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto

• MITIGACIÓN: Cisco recomienda aplicar las actualizaciones que solucionan las vulnerabilidades descritas.

• REFERENCIAS:
- Publicación en página del proveedor.

- Publicación en página oficial.

• GRAVEDAD: 7.5

• CVES RELACIONADOS: CVE-2022-3876
CVE-2022-3877

• FECHA DIVULGACIÓN: 19/12/2022

• ACTUALIZACIÓN: 28/12/2022

• RESUMEN: La vulnerabilidad afecta el código desconocido de la API componente. La manipulación conduce al desvío de autenticación por datos de inmutable supuesto.

• PRODUCTO AFECTADO: Click Studios Passwordstate
Click Studios Passwordstate Browser Extension Chrome

• CAUSAS: Authentication Bypass by Assumed-Immutable Data

• CONSECUENCIAS: El ataque puede iniciarse de forma remota. El exploit ha sido revelado al público y puede ser utilizado.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Medio
- Disponibilidad: Alto

• MITIGACIÓN: Se recomienda actualizar cada producto afectado a la version mas reciente.

• REFERENCIAS:
- Publicación en página del proveedor.

- Publicación en página oficial.

• GRAVEDAD: 7.0

• CVES RELACIONADOS: CVE-2022-27510

• FECHA DIVULGACIÓN: 13/12/2022

• ACTUALIZACIÓN: 14/12/2022

• RESUMEN: La vulnerabilidad existe debido a restricciones de acceso inadecuadas en sistemas configurados como SAML SP o SAML IdP.

• PRODUCTO AFECTADO: Citrix Access Gateway: 12.1-65.25

• CAUSAS: Improper Control of a Resource Through its LifetimeCitrix Netscaler ADC:12.1-55.291


• CONSECUENCIAS: Un atacante remoto no autenticado podria obtener acceso no autorizado al sistema.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto

• MITIGACIÓN: Cirtrix recomienda aplicar las actualizaciones.

• REFERENCIAS:
- Publicación en página del proveedor.

- Publicación en página oficial.

• GRAVEDAD: 7.0

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 15/12/2022

• ACTUALIZACIÓN: 21/12/2022

• RESUMEN: La vulnerabilidad abordó una race condition con validación adicional en tvOS 16.2, macOS Monterey 12.6.2, macOS Ventura 13.1, macOS Big Sur 11.7.2, iOS 15.7.2 y iPadOS 15.7.2, iOS 16.2 y iPadOS 16.2, watchOS 9.2

• PRODUCTO AFECTADO: Apple tvOS 16.2, macOS Monterey 12.6.2, macOS Ventura 13.1, macOS Big Sur 11.7.2, iOS 15.7.2 y iPadOS 15.7.2, iOS 16.2 y iPadOS 16.2, watchOS 9.2

• CAUSAS: Race Condition

• CONSECUENCIAS: Un atacante podria ejecutar código arbitrario con privilegios de kernel.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto

• MITIGACIÓN: Se recomienda actualizar cada producto afectado a la version mas reciente.

• REFERENCIAS:
- Publicación en página del proveedor.

- Publicación en página oficial.

• GRAVEDAD: 8.8

• CVES RELACIONADOS: CVE-2022-33876

• FECHA DIVULGACIÓN: 06/12/2022

• ACTUALIZACIÓN: 08/12/2022

• RESUMEN: La vulnerabilidad existe debido a la desinfección insuficiente de los datos suministrados por el usuario en la función de copia de seguridad de la configuración.

• PRODUCTO AFECTADO: FortiADC: 7.0.0 - 7.0.2, 7.1.0, 6.2.0 - 6.2.4, 6.1.0 - 6.1.6, 6.0.0 - 6.0.4, 5.4.0 - 5.4.5, 5.3.0 - 5.3.7, 5.2.

• CAUSAS: SQL Injection

• CONSECUENCIAS: Un usuario remoto podria enviar una solicitud especialmente diseñada a la aplicación afectada y ejecutar comandos SQL arbitrarios dentro de la base de datos de la aplicación.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto

• MITIGACIÓN: Se recomienda actualizar cada producto afectado a la version mas reciente.

• REFERENCIAS:
- Publicación en página del proveedor.

- Publicación en página oficial.

• GRAVEDAD: 8.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 12/12/2022

• ACTUALIZACIÓN: 14/12/2022

• RESUMEN: La vulnerabilidad existe debido a un error de límite al procesar paquetes de Cisco Discovery Protocol.

• PRODUCTO AFECTADO:IP Phone 7800 Series: 14.1 - 14.2 Cisco IP Phone 8800 Series: 14.0.1 - 14.2

• CAUSAS: Stack-based Buffer Overflow

• CONSECUENCIAS: Un atacante remoto en la red local podria enviar paquetes especialmente diseñados al dispositivo afectado, activar un desbordamiento de búfer basado en pila y ejecutar código arbitrario en el sistema de destino.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto

• MITIGACIÓN: No hay soluciones que aborden esta vulnerabilidad. Sin embargo, existe una mitigación que aborda esta vulnerabilidad

• REFERENCIAS:
- Publicación en página del proveedor.

- Publicación en página oficial.

• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 06/12/2022

• ACTUALIZACIÓN: 08/12/2022

• RESUMEN: La vulnerabilidad existe debido a un error en el componente de inicio de sesión SSH de FortiOS al procesar solicitudes de autenticación si se usa la autenticación RADIUS.

• PRODUCTO AFECTADO: FortiProxy: 2.0.0 - 7.0.6

• CAUSAS: Improper Authentication

• CONSECUENCIAS: Un atacante remoto pupodria eludir el proceso de autenticación e iniciar sesión en el dispositivo mediante el envío de una respuesta de desafío de acceso especialmente diseñada desde el servidor Radius.

• IMPACTO:

- Confidencialidad: Crítico
- Integridad: Crítico
- Disponibilidad: Crítico

• MITIGACIÓN: Se recomienda actualizar cada producto afectado a la version mas reciente.

• REFERENCIAS:
- Publicación en página del proveedor.

- Publicación en página oficial.