Dos nuevos avisos de seguridad
Múltiples vulnerabilidades en Red Hat Fuse
Fecha16/11/2023
Importancia5 - Crítica
Recursos Afectados
Red Hat Fuse 1 x86_64.
Descripción
Red Hat ha publicado un aviso, de severidad crítica, informando de múltiples vulnerabilidades que afectan a su producto Fuse.
Solución
Actualizar Red Hat Fuse a la versión 7.12.1.
Detalle
Los tipos de vulnerabilidades detectadas son:
- denegación de servicio (CVE-2023-44487, CVE-2023-3635, CVE-2023-36478 y CVE-2023-42794),
- ejecución de código remota (CVE-2023-46604),
- espacio de memoria insuficiente (CVE-2023-3223),
- evasión de medidas de seguridad (CVE-2023-34034),
- deserialización de datos no confiables (CVE-2023-39410),
- validación incorrecta de datos de entrada (CVE-2023-40167),
- divulgación de información (CVE-2023-42795),
- contrabando de solicitudes HTTP (CVE-2023-45648),
- inserción incorrecta de comillas (CVE-2023-36479),
- autenticación débil (CVE-2023-41900).
Cross-Site Scripting en CKEditor de CKSource
Fecha16/11/2023
Importancia3 - Media
Recursos Afectados
- CKEditor, versiones 4.15.1 y anteriores.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a CKEditor, un editor de texto de código abierto que proporciona funciones de procesador de texto en páginas web, y que ha sido descubierta por Rafael Pedrero.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2023-4771: CVSS v3.1: 6.1 | CVSS: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N | CWE-79.
Solución
No hay solución reportada por el momento.
Detalle
- CVE-2023-4771: se ha encontrado una vulnerabilidad de Cross-Site scripting en CKSource CKEditor que afecta a las versiones 4.15.1 y anteriores. Un atacante podría enviar un código javascript malicioso a través del archivo /ckeditor/samples/old/ajax.html y recuperar la información de un usuario autorizado.