CVE: Vulnerabilidades Noviembre 2024
NextVision
0
CVE: Vulnerabilidades Noviembre 2024
Con el objetivo de contribuir en la construcción de un mundo ciberseguro, publicamos diariamente las últimas vulnerabilidades de seguridad. En orden a las publicaciones oficiales, empleamos la nomenclatura estándar, establecida por CVE para la identificación de cada brecha, a fin de facilitar el intercambio de información entre las diferentes fuentes.
En esta sección encontrarás el número de identificación de referencia de cada vulnerabilidad (CVE-ID), su descripción, impacto, causas, productos afectados, valoración y consecuencias. Además, su gravedad es referenciada por el color asignado, siendo estos: Crítico, Alto, Medio y Bajo.
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 22/11/2024
• ACTUALIZACIÓN: 22/11/2024
• RESUMEN: Permite a atacantes remotos eludir la protección "Mark-of-the-Web" en WinZip, manipulando archivos comprimidos. Los archivos extraídos pierden esta marca, lo que puede ser aprovechado para ejecutar código arbitrario en el contexto del usuario actual.
• PRODUCTO AFECTADO: WinZip (versiones afectadas no especificadas)
• CAUSAS: Manejo incorrecto de archivos comprimidos con la marca "Mark-of-the-Web".
• CONSECUENCIAS: Ejecución de código arbitrario en el contexto del usuario, comprometiendo el sistema afectado.
• IMPACTO:
- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto
• MITIGACIÓN: Aplicar parches de seguridad recomendados por el proveedor o actualizar a una versión corregida de WinZip.
• REFERENCIAS:
- Publicación en página oficial.
• CVES RELACIONADOS: CVE-2024-9474
• FECHA DIVULGACIÓN: 08/11/2024
• ACTUALIZACIÓN: 18/11/2024
• RESUMEN: Vulnerabilidad que permite a un atacante remoto no autenticado acceder como administrador a dispositivos Palo Alto Networks que ejecutan PAN-OS mediante su interfaz web de gestión.
• PRODUCTO AFECTADO: PAN-OS 10.2, 11.0, 11.1, 11.2
• CAUSAS: Falla en la autenticación de la interfaz de gestión.
• CONSECUENCIAS: Un atacante puede obtener privilegios administrativos, comprometiendo el dispositivo por completo.
• IMPACTO:
- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto
• MITIGACIÓN: Aplicar los parches proporcionados por Palo Alto Networks. Limitar el acceso público a la interfaz de gestión según las guías de mejores prácticas del fabricante.
• REFERENCIAS:
- Publicación en página oficial.
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 21/11/2024
• ACTUALIZACIÓN: 21/11/2024
• RESUMEN: Esta vulnerabilidad permite la ejecución de código arbitrario debido a un defecto en JavaScriptCore en productos Apple, lo que podría comprometer los sistemas.
• PRODUCTO AFECTADO: macOS Sequoia, iOS, iPadOS, Safari, visionOS
• CAUSAS: Defecto en la gestión de contenido web malicioso.
• CONSECUENCIAS: Un atacante podría ejecutar código remotamente, comprometiendo la seguridad del dispositivo afectado.
• IMPACTO:
- Confidencialidad: Alto
- Integridad: Alto
- Disponibilidad: Alto
• MITIGACIÓN: Actualizar a las últimas versiones de macOS, iOS, iPadOS y Safari, según las recomendaciones de Apple.
• REFERENCIAS:
- Publicación en página del proveedor.
- Publicación en página oficial.
• CVES RELACIONADOS: N/A
• FECHA DIVULGACIÓN: 12/11/2024
• ACTUALIZACIÓN: 13/11/2024
• RESUMEN: Vulnerabilidad en Laravel debido a una incorrecta manipulación de cadenas de consulta (query strings), que afecta el entorno durante el procesamiento de solicitudes.
• PRODUCTO AFECTADO: Laravel (versiones 7.0.0 hasta 7.30.7, 8.0.0 hasta 8.83.28, 9.0.0 hasta 9.52.17, 10.0.0 hasta 10.48.23, 11.0.0 hasta 11.31.0)
• CAUSAS: Uso de manipulación de consultas.
• CONSECUENCIAS: Permite a los atacantes modificar el comportamiento de la aplicación, comprometiendo la seguridad del servidor.
• IMPACTO:
- Confidencialidad: Medio
- Integridad: Alto
- Disponibilidad: Alto
• MITIGACIÓN: Actualizar a Laravel 6.20.45, 7.30.7, 8.83.28, 9.52.17, 10.48.23, o 11.31.0, que corrigen esta vulnerabilidad.
• REFERENCIAS:
- Publicación en página del proveedor.
- Publicación en página oficial.
La Ciberseguridad la Hacemos Juntos
Si has detectado que alguna de estas fallas de seguridad o vulnerabilidades te afecta, no olvides implementar las recomendaciones de mitigación.
En caso de dudas o consultas sobre las CVE: Vulnerabilidades Noviembre 2024, comunícate con nuestro equipo enviándonos tus comentarios aquí.
