Novedades

• GRAVEDAD: 7.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 20/07/2022

• ACTUALIZACIÓN: 26/07/2022

• RESUMEN: La vulnerabilidad existe debido a una llamada insegura a eval() cuando se procesan entradas de caché en la función de caché Smarty de MySQL

• PRODUCTO AFECTADO: PrestaShop: 1.6.0.10 - 1.7.8.6

• CAUSAS: SQL injection

• CONSECUENCIAS:Un atacante remoto podria inyectar entradas especialmente diseñadas en la base de datos y ejecutar código PHP arbitrario en el sistema.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto

• MITIGACIÓN: Se recomienda aplicar los parches correspondientes.

• REFERENCIAS:
- Publicación en página del proveedor.
- Publicación en página oficial.

• GRAVEDAD: 6.8

• CVES RELACIONADOS: CVE-2022-26137
CVE-2022-26138

• FECHA DIVULGACIÓN: 20/07/2022

• ACTUALIZACIÓN: 29/07/2022

• RESUMEN: La vulnerabilidad existe debido a una sanitización insuficiente de los datos proporcionados por el usuario en el filtro de servlet.

• PRODUCTO AFECTADO: Bamboo Server and Data Center: 7.2.0 - 8.2.3
Bitbucket Server and Data Center: 7.6.0 - 8.1.0
Confluence Server and Data Center: 7.4.0 - 7.18.0
Crowd Server and Data Center: 4.3.0 - 5.0.0
Jira Server and Data Center: 8.13.0 - 8.22.3
Jira Service Management Server and Data Center: 4.13.0 - 4.22.5
Atlassian Crucible: 4.8.0 - 4.8.9
Atlassian Fisheye: 4.8.0 - 4.8.9

• CAUSAS: Ejecución de codigo remoto

• CONSECUENCIAS:Un atacante remoto podria engañar a la víctima para que siga un enlace especialmente diseñado y ejecute código HTML y script arbitrario en el navegador del usuario en el contexto de un sitio web vulnerable.

• IMPACTO:

- Confidencialidad: Bajo
- Integridad: Medio
- Disponibilidad: Medio

• MITIGACIÓN: Atlassian recomienda aplicar los parches correspondientes.

• REFERENCIAS:
- Publicación en página del proveedor.
- Publicación en página oficial.

• GRAVEDAD: 7.8

• CVES RELACIONADOS: CVE-2022-20141
CVE-2022-25258
CVE-2022-25375

• FECHA DIVULGACIÓN: 04/07/2022

• ACTUALIZACIÓN: 27/07/2022

• RESUMEN: La vulnerabilidad existe debido a la imposición incorrecta de restricciones de seguridad en los componentes del kernel de Linux

• PRODUCTO AFECTADO: Ubuntu: 14.04, 16.04

• CAUSAS:Access of Resource Using Incompatible

• CONSECUENCIAS:Un usuario local podria desencadenar la vulnerabilidad para eludir las restricciones de seguridad y escalar los privilegios en el sistema.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Medio

• MITIGACIÓN: Se recomienda actualizar a la version mas reciente.

• REFERENCIAS:
- Publicación en página del proveedor.
- Publicación en página oficial.

• GRAVEDAD: 9.0

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 01/07/2022

• ACTUALIZACIÓN: 13/07/2022

• RESUMEN: La vulnerabilidad existe debido a un error de límite dentro de la implementación de WebRTC.

• PRODUCTO AFECTADO: Google Chrome afecta a versiones anteriores a 103.0.5060.114.

• CAUSAS:Heap-Based Buffer Overflow

• CONSECUENCIAS:Un atacante remoto podria engañar a la víctima para que visite un sitio web especialmente diseñado, desencadenar un desbordamiento de búfer basado en montón y ejecutar código arbitrario en el sistema de destino.

• IMPACTO:

- Confidencialidad: Crítico
- Integridad: Crítico
- Disponibilidad: Crítico

• MITIGACIÓN: Se recomienda aplicar las actualizaciones mas recientes.

• REFERENCIAS:
- Publicación en página del proveedor.
- Publicación en página oficial.

• GRAVEDAD: 9.0

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 01/07/2022

• ACTUALIZACIÓN: 13/07/2022

• RESUMEN: La vulnerabilidad existe debido a un error de límite dentro de la implementación de WebRTC.

• PRODUCTO AFECTADO: Google Chrome afecta a versiones anteriores a 103.0.5060.114.

• CAUSAS:Heap-Based Buffer Overflow

• CONSECUENCIAS:Un atacante remoto podria engañar a la víctima para que visite un sitio web especialmente diseñado, desencadenar un desbordamiento de búfer basado en montón y ejecutar código arbitrario en el sistema de destino.

• IMPACTO:

- Confidencialidad: Crítico
- Integridad: Crítico
- Disponibilidad: Crítico

• MITIGACIÓN: Se recomienda aplicar las actualizaciones mas recientes.

• REFERENCIAS:
- Publicación en página del proveedor.
- Publicación en página oficial.

• GRAVEDAD: 6.8

• CVES RELACIONADOS: CVE-2022-1891
CVE-2022-1892

• FECHA DIVULGACIÓN: 10/07/2022

• ACTUALIZACIÓN: 12/07/2022

• RESUMEN: La vulnerabilidad exite debido a la insuficiente validacion de una variable NVRAM llamada "DataSize" en controladores diferentes ReadyBootDxe, SustemLoadDefaultDxe y SystemBootManagerDxe, lo que genera un desbordamiento de bufer.

• PRODUCTO AFECTADO: Notebook Affects 71 Lenovo Models

• CAUSAS: Buffer Overflow.
Ejecución remota de código

• CONSECUENCIAS: Un atacante podria lejecutar codigo arbitrario en las primeras fases de arranque de la plataforma, lo que permita a los atacantes secuestrar el flujo de ejecucion del sistema operativo y deshabilitar funciones de seguridad importantes.

• IMPACTO:

- Confidencialidad: Bajo
- Integridad: Medio
- Disponibilidad: Bajo

• MITIGACIÓN: Actualice el firmware del sistema a la versión más reciente indicada para su modelo.

• REFERENCIAS:
- Publicación en página del proveedor.

• GRAVEDAD: 6.5

• CVES RELACIONADOS: CVE-2022-30181 CVE-2022-33641
CVE-2022-33642
CVE-2022-33643
CVE-2022-33659
CVE-2022-33660
CVE-2022-33661
CVE-2022-33662
CVE-2022-33663
CVE-2022-33664
CVE-2022-33665
CVE-2022-33666
CVE-2022-33667
CVE-2022-33669
CVE-2022-33671
CVE-2022-33672
CVE-2022-33673
CVE-2022-33674
CVE-2022-33675
CVE-2022-33676
CVE-2022-33677
CVE-2022-33678
CVE-2022-33668
CVE-2022-33658
CVE-2022-33650
CVE-2022-33651
CVE-2022-33652
CVE-2022-33653
CVE-2022-33654
CVE-2022-33655
CVE-2022-33656


• FECHA DIVULGACIÓN: 12/07/2022

• ACTUALIZACIÓN: 18/07/2022

• RESUMEN: La vulnerabilidad existe debido a que la aplicación no impone correctamente las restricciones de seguridad en Azure Site Recovery, lo que conduce a la omisión de las restricciones de seguridad y a la escalada de privilegios.

• PRODUCTO AFECTADO: Microsoft Azure Site Recovery VMWare to Azure

• CAUSAS: Elevacion de privilegios

• CONSECUENCIAS: La vulnerabilidad permite que un administrador remoto pueda elevar los privilegios en el sistema.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Medio

• MITIGACIÓN: Microsoft recomienda aplicar las actualizaciones mas recientes.

• REFERENCIAS:
- Publicación en página del proveedor. - Publicación en página oficial.

• GRAVEDAD: 7.8

• CVES RELACIONADOS: CVE-2022-22049
CVE-2022-22026

• FECHA DIVULGACIÓN: 12/07/2022

• ACTUALIZACIÓN: 16/07/2022

• RESUMEN: La vulnerabilidad existe debido a un error de límite dentro del subsistema de tiempo de ejecución del servidor/cliente de Microsoft Windows (CSRSS)

• PRODUCTO AFECTADO: Microsoft Windows 10 Version 1809 for 32-bit Systems
10 Version 1809 for x64-based Systems
10 Version 1809 for ARM64-based Systems
10 for 32-bit Systems
10 for x64-based Systems
10 Version 1607 for 32-bit Systems
10 Version 1607 for x64-based Systems
7 for 32-bit Systems Service Pack 1
7 for x64-based Systems Service Pack 1
8.1 for 32-bit systems
8.1 for x64-based systems
RT 8.1
Microsoft Windows Server 2019
2019 (Core installation)
2016
2016 (Core installation)
2008 for 32-bit Systems Service Pack 2
2008 for 32-bit Systems Service Pack 2 (Core installation)
2008 for x64-based Systems Service Pack 2
2008 for x64-based Systems Service Pack 2 (Core installation)
2008 R2 for x64-based Systems Service Pack 1
2008 R2 for x64-based Systems Service Pack 1 (Core installation)
2012
2012 (Core installation)
2012 R2
2012 R2 (Core installation)

• CAUSAS: Elevacion de privilegios

• CONSECUENCIAS: Un usuario local podria ejecutar un programa especialmente diseñado para ejecutar código arbitrario con privilegios de SISTEMA.

• IMPACTO:

- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto

• MITIGACIÓN: Microsoft recomienda aplicar las actualizaciones mas recientes.

• REFERENCIAS:
- Publicación en página del proveedor. - Publicación en página oficial.

• GRAVEDAD: 9.8

• CVES RELACIONADOS: CVE-2022-2097

• FECHA DIVULGACIÓN: 01/07/2022

• ACTUALIZACIÓN: 15/07/2022

• RESUMEN: La vulnerabilidad existe debido a un error de límite en la implementación de RSA para las CPU X86_64 que admiten las instrucciones AVX512IFMA.
Este problema afecta a los servidores SSL/TLS u otros servidores que utilizan claves privadas RSA de 2048 bits que se ejecutan en máquinas compatibles con las instrucciones AVX512IFMA de la arquitectura X86_64.

• PRODUCTO AFECTADO: OpenSSL Affects OpenSSL 3.0.4.

• CAUSAS: Corrupcion de memoria

• CONSECUENCIAS: Un atacante remoto podria enviar datos especialmente diseñados a la aplicación, desencadenar un desbordamiento de búfer basado en montón y ejecutar código arbitrario en el sistema de destino

• IMPACTO:

- Confidencialidad: Crítico
- Integridad: Crítico
- Disponibilidad: Crítico

• MITIGACIÓN: Se recomienda aplicar los parches correspondientes.

• REFERENCIAS:
- Publicación en página del proveedor. - Publicación en página oficial.

• GRAVEDAD: 9.0

• CVES RELACIONADOS: CVE-2022-20813

• FECHA DIVULGACIÓN: 06/07/2022

• ACTUALIZACIÓN: 14/07/2022

• RESUMEN: La vulnerabilidad existe debido a un error de validación de entrada al procesar secuencias transversales de directorios en la API de la base de datos del clúster.

• PRODUCTO AFECTADO: Cisco TelePresence Video Communication Server (VCS) Expressway

• CAUSAS: Elevación de privilegios

• CONSECUENCIAS: Un atacante remoto podria enviar una solicitud HTTP especialmente diseñada y sobrescribir archivos arbitrarios en el sistema.

• IMPACTO:

- Confidencialidad: Crítico
- Integridad: Crítico
- Disponibilidad: Crítico

• MITIGACIÓN: Cisco recomienda aplicar las actualizaciones que solucionan las vulnerabilidades descritas.

• REFERENCIAS:
- Publicación en página del proveedor. - Publicación en página oficial.

• GRAVEDAD: 9.8

• CVES RELACIONADOS: N/A

• FECHA DIVULGACIÓN: 04/07/2022

• ACTUALIZACIÓN: 13/07/2022

• RESUMEN: La vulnerabilidad existe debido a una sanitización insuficiente de los datos proporcionados por el usuario dentro de los argumentos Trunc(kind) y Extract(lookup_name).

• PRODUCTO AFECTADO: Django main branch
Django 4.1 (currently at beta status)
Django 4.0
Django 3.2

• CAUSAS: SQL injection

• CONSECUENCIAS: Un atacante remoto podría enviar una solicitud especialmente diseñada a la aplicación afectada y ejecutar comandos SQL arbitrarios dentro de la base de datos de la aplicación.

• IMPACTO:

- Confidencialidad: Crítico
- Integridad: Crítico
- Disponibilidad: Crítico

• MITIGACIÓN: Se recomienda aplicar los parches para resolver el problema en la rama principal de Django y en las ramas de las versiones correspondientes.

• REFERENCIAS:
- Publicación en página del proveedor.
- Publicación en página del oficial.

• GRAVEDAD: 6.5

• CVES RELACIONADOS: CVE-2022-2295
CVE-2022-2296

• FECHA DIVULGACIÓN: 04/07/2022

• ACTUALIZACIÓN: 14/07/2022

• RESUMEN: La vulnerabilidad existe debido a un error de límite dentro de la implementación de WebRTC.

• PRODUCTO AFECTADO: Google Chrome para Android: 64.0.3282.123 - 103.0.5060.70

• CAUSAS: Heap-based buffer overflow

• CONSECUENCIAS: Un atacante remoto podria engañar a la víctima para que visite un sitio web especialmente diseñado, desencadenar un heap-based buffer overflow y ejecutar código arbitrario en el sistema de destino.

• IMPACTO:

- Confidencialidad: Bajo
- Integridad: Medio
- Disponibilidad: Medio

• MITIGACIÓN: Se recomienda actualizar a la version mas reciente.

• REFERENCIAS:
- Publicación en página del proveedor.