Nivel de alerta
Crítico
Fortinet, una compañía que proporciona productos orientados a la ciberseguridad, ha emitido una advertencia sobre una nueva vulnerabilidad crítica que podría permitir a los atacantes ejecutar código de forma remota sin autenticación previa.
La vulnerabilidad afecta a FortiManager y FortiAnalyzer, dos herramientas de gestión utilizadas para monitorizar y analizar el tráfico de red y le ha sido asignada una puntuación CVSS de 9.8 sobre 10.
Nivel de alerta
Crítico
Varias de las vulnerabilidades se refieren a inyección de comandos y han sido etiquetadas como CVE-2023-22747, CVE-2023-22748, CVE-2023-22749 y CVE-2023-22750, con una clasificación CVSS v3 de 9.8.
Otras dos pueden provocar errores de desbordamiento de búfer, se han etiquetado como CVE-2023-22751 y CVE-2023-22752, y para ambas la clasificación CVSS v3 también es de 9.8.
Las versiones afectadas son:
-
ArubaOS 8.6.0.19 y versiones anteriores
-
ArubaOS 8.10.0.4 y versiones anteriores
-
ArubaOS 10.3.1.0 y versiones anteriores
Nivel de alerta
Crítico
Múltiples vulnerabilidades en la interfaz de administración basada en web de los teléfonos IP de Cisco de las series IP Phone 6800, 7800, 7900 y 8800 podrían permitir que un atacante remoto no autenticado ejecute código arbitrario o cause una condición de denegación de servicio (DoS).
Nivel de alerta
Crítico
La compañía ya ha liberado parches y emplaza a actualizar las versiones afectadas de sus productos.
Los productos afectados por estas vulnerabilidades son: FortiWeb, FortiOS, FortiNAC, FortiProxy, FortiAnalyzer, FortiADC, FortiSandbox, FortiPortal, FortiWAN, FortiAuthenticator, FortiSwitch, FortiExtender y FortiSwitchManager.
Las vulnerabilidades críticas afectan a FortiNAC y a FortiWeb, en las siguientes versiones:
FortiNAC versión 9.4.0
FortiNAC versión 9.2.0 a 9.2.5
FortiNAC versión 9.1.0 a 9.1.7
FortiNAC 8.8 todas las versiones
Nivel de alerta
Muy alto
La compañía recomienda a los usuarios actualizar los dispositivos afectados (iPhone, iPads y Macs) tan pronto como sea posible.
Nivel de alerta
Alto
La vulnerabilidad permitiría que usuarios autenticados puedan causar condiciones de Denegación de Servicio o ejecutar código arbitrario.
La vulnerabilidad se ha clasificado como CVE-2023-22374, y es preciso que el atacante esté autenticado con acceso de red a iControl SOAP a través del puerto de administración BIG-IP o las direcciones IP propias para poder provocar un ataque de denegación de servicio o ejecutar código arbitrario en el sistema.
En cualquier caso, los datos no se verían comprometidos, el problema afecta solamente al plano de control.
Nivel de alerta
Crítico
Investigadores de seguridad han detectado intentos de explotación masiva a dispositivos IoT, aprovechando una vulnerabilidad crítica de Realtek.
Nivel de alerta
Crítico
CISA ha publicado varios avisos sobre vulnerabilidades en sistemas de control industrial que afectan a productos de Siemens, GE Digital y Contec.
Nivel de alerta
Crítico
Cisco avisa de dos vulnerabilidades críticas en modelos de su serie de routers Small Business. No se proporcionará actualización de seguridad.
Nivel de alerta
Crítico
Si se explotan con éxito las vulnerabilidades, los atacantes pueden escalar privilegios y ejecutar código arbitrario en los servidores comprometidos
