Fecha de publicaciĂłn: 02/12/2022
Importancia:
CrĂtica
Recursos afectados:
Lansweeper 10.1.1.0.
DescripciĂłn:
Marcin âIcewallâ Noga, investigador de Cisco Talos, ha descubierto 6 vulnerabilidades de severidad crĂtica en Lansweeper, cuya explotaciĂłn podrĂa permitir lectura y subida de archivos aleatorios o inyecciĂłn de cĂłdigo JavaScript.
SoluciĂłn:
- Actualizar Lansweeper a una versiĂłn superior a 10.1.1.0.
- Las reglas de SNORT 59990-59992, 59999-60000, 60001-60002, 60054-60056, 60142-60144 y 60219 detectan intentos de explotaciĂłn contra estas vulnerabilidades.
Detalle:
Los tipos de vulnerabilidades identificadas y sus correspondientes identificadores son:
- LimitaciĂłn incorrecta de nombre de ruta a un directorio restringido (path traversal): CVE-2022-32573, CVE-2022-29517, CVE-2022-29511 y CVE-2022-27498. Un atacante podrĂa enviar una peticiĂłn HTTP especialmente diseñada para explotar estas vulnerabilidades.
- OmisiĂłn de sanitizaciĂłn en funcionalidades que podrĂa provocar un Cross-Site Scripting (XSS): CVE-2022-28703 y CVE-2022-32763.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Privacidad, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.