blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
enero 12, 2024

CVE: Vulnerabilidades Diciembre 2023

Alertas de Seguridad

NextVision

0

CVE: Vulnerabilidades Diciembre 2023

Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.

En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos: Crítico, Alto, Medio y Bajo.

• GRAVEDAD: 7.7

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 21/12/2023

• ACTUALIZACIÓN: 21/12/2023

• RESUMEN: La vulnerabilidad existe debido a un error de límite al procesar contenido HTML que no es de confianza en WebRTC. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la abra, provocar un desbordamiento del búfer basado en el montón y ejecutar código arbitrario en el sistema objetivo.

• PRODUCTO AFECTADO: Servidor Windows: 2008 R2 - 2022 20H2

• CAUSAS: Code Execution Vulnerability

• CONSECUENCIAS: La vulnerabilidad permitiria que un atacante remoto comprometa el sistema vulnerable.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: None
- Disponibilidad: None


• MITIGACIÓN: Instale actualizaciones desde el sitio web del proveedor.

• REFERENCIAS:
- Publicación en página del proveedor.

- Publicación en página oficial.
• GRAVEDAD: 8.4

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 21/12/2023

• ACTUALIZACIÓN: 21/12/2023

• RESUMEN: La vulnerabilidad existe debido a un error de límite al procesar contenido HTML que no es de confianza en WebRTC. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la abra, provocar un desbordamiento del búfer basado en el montón y ejecutar código arbitrario en el sistema objetivo.

• PRODUCTO AFECTADO: Afectado desde 120.0.6099.129 antes de 120.0.6099.129

• CAUSAS: Exploiting a zero-day

• CONSECUENCIAS: La vulnerabilidad permitiria que un atacante remoto comprometa el sistema vulnerable.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Instale actualizaciones desde el sitio web del proveedor.

• REFERENCIAS:
- Publicación en página del proveedor.

- Publicación en página oficial.
• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 15/12/2023

• ACTUALIZACIÓN: 21/12/2023

• RESUMEN: El complemento Backup Migration para WordPress es vulnerable a la ejecución remota de código en todas las versiones hasta la 1.3.7 inclusive a través del archivo /includes/backup-heart.php.

• PRODUCTO AFECTADO: WordPress afectado hasta 1.3.7

• CAUSAS: Attacker being able to control the values passed

• CONSECUENCIAS: Un atacante podria controlar los valores pasados ​​a una inclusión y, posteriormente, aprovecharlos para lograr la ejecución remota de código.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Instale actualizaciones desde el sitio web del proveedor.

• REFERENCIAS:
- Publicación en página del proveedor.

- Publicación en página oficial.
• GRAVEDAD: 9.6

• CVES RELACIONADOS: CVE-2023-5217 - CVE-2023-4863

• FECHA DIVULGACIÓN: 29/11/2023

• ACTUALIZACIÓN: 15/12/2023

• RESUMEN: La vulnerabilidad existe debido a un desbordamiento de enteros en el componente Skia de Google Chrome. Un atacante remoto puede engañar a la víctima para que abra una página web especialmente diseñada, provocar un desbordamiento de enteros y ejecutar código arbitrario en el sistema de destino.

• PRODUCTO AFECTADO: Google Chrome anterior a 119.0.6045.199

• CAUSAS: Exploiting a zero-day

• CONSECUENCIAS: La vulnerabilidad permitiria a un atacante remoto ejecutar código arbitrario en el sistema de destino.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto


• MITIGACIÓN: Instale actualizaciones desde el sitio web del proveedor.

• REFERENCIAS:
- Publicación en página del proveedor.

- Publicación en página oficial.

La Ciberseguridad la Hacemos Juntos

Si has detectado que alguna de estas fallas de seguridad o vulnerabilidades te afecta, no olvides implementar las recomendaciones de mitigación.

En caso de dudas o consultas sobre las CVE: Vulnerabilidades Diciembre 2023, comunícate con nuestro equipo enviándonos tus comentarios aquí.

Comments are closed.