Fecha de publicaciĂłn: 15/12/2021
Importancia:
Alta
Recursos afectados:
R-SeeNet: versiĂłn 2.4.16 y anteriores.
DescripciĂłn:
Yuri Kramarz, de Cisco Talos, informĂł al CISA de dos vulnerabilidades de severidad alta por las que usuarios autenticados podrĂan realizar una escalada de privilegios local y recuperar cualquier informaciĂłn de la base de datos del producto.
SoluciĂłn:
Actualizar a la versiĂłn 2.4.17 o superior.
Detalle:
- MĂșltiples vulnerabilidades de inyecciĂłn SQL en las siguientes pĂĄginas: group_list, company_list, user_list y device_list que podrĂan permitir enviar una solicitud HTTP especialmente diseñada para activar las vulnerabilidades. Se han asignado los identificadores: CVE-2021-21915, CVE-2021-21916, CVE-2021-21917, CVE-2021-21918, CVE-2021-21919, CVE-2021-21920, CVE-2021-21921, CVE-2021-21922, CVE-2021-21923, CVE-2021-21924, CVE-2021-21925, CVE-2021-21926, CVE-2021-21927, CVE-2021-21928, CVE-2021-21929, CVE-2021-21930, CVE-2021-21931, CVE-2021-21932, CVE-2021-21933, CVE-2021-21934, CVE-2021-21935, CVE-2021-21936 y CVE-2021-21937 para esta vulnerabilidad.
- Una escalada de privilegios que podrĂa activarse cuando un usuario autenticado reemplaza un archivo especialmente diseñado en el sistema para escalar privilegios a la autoridad NT SYSTEM. Se han asignado los identificadores CVE-2021-21910, CVE-2021-21911 y CVE-2021-21912 para esta vulnerabilidad.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.