Especialistas en ciberseguridad reportan la detección de al menos vulnerabilidades en PeopleSoft Enterprise PeopleTools un conjunto de herramientas de desarrollo integral que admite el desarrollo y el tiempo de ejecución de aplicaciones desarrollado por la firma tecnológica Oracle. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas interceptar información confidencial y desplegar otras variantes de ataque.
A continuación se presentan breves descripciones de las vulnerabilidades reportadas. También se presentan las claves de identificación de estas fallas y sus puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2020-8908: Los permisos incorrectos para archivos ubicados en el directorio temporal establecido por Guava com.google.common.io.Files.createTempDir() permitirían a los usuarios locales con acceso al sistema ver o modificar el contenido de archivos y directorios.
La falla recibió un puntaje de 3.9/10 y permitiría a los actores de amenazas escalar privilegios en los sistemas afectados.
CVE-2021-2377: La validación de entrada incorrecta dentro del componente SQR en PeopleSoft Enterprise PeopleTools permitiría a los usuarios autenticados remotos explotar la falla para acceder a información confidencial.
Esta vulnerabilidad recibió un puntaje CVSS de 3.8/10.
CVE-2021-2407: La validación de entrada incorrecta dentro del componente Portal en PeopleSoft Enterprise PeopleTools permitiría a los atacantes remotos no autenticados aprovechar esta vulnerabilidad para obtener acceso a información confidencial.
La falla recibió un puntaje CVSS de 4.6/10.
CVE-2021-21290: El uso inseguro de archivos temporales en el método AbstractDiskHttpData en Netty permitiría a los usuarios locales ver el archivo temporal de la aplicación y obtener acceso a datos potencialmente confidenciales.
Esta vulnerabilidad recibió un puntaje CVSS de 2.9/10 y permite a los actores de amenazas acceder a información confidencial de forma indebida.
CVE-2020-7017: La desinfección insuficiente de los datos proporcionados por el usuario en las visualizaciones de mapas de la región permite a los actores de amenazas no autenticados de forma remota inyectar y ejecutar código HTML y scripts arbitrarios en el navegador del usuario afectado.
La falla recibió un puntaje de 5.6/10 y su explotación exitosa permitiría a los actores de amenazas robar información potencialmente confidencial, cambiar la apariencia de la página web e incluso realizar ataques de phishing.
CVE-2021-3450: Un error en la implementación del indicador X509_V_FLAG_X509_STRICT permite a los atacantes sobrescribir un certificado de CA válido utilizando cualquier certificado que no sea de CA en la cadena, lo que resultaría en un ataque Man-in-The-Middle (MiTM).
La falla recibió un puntaje CVSS de 5.7/10.
CVE-2021-22884: La lista blanca de la aplicación afectada incluye el nombre “localhost6”. Cuando este término no está presente en /etc/hosts, se trata como un dominio ordinario que se resuelve a través de DNS, es decir, a través de la red. Si los hackers controlan el servidor DNS de la víctima o falsifican sus respuestas, la protección de reenlace de DNS se puede omitir utilizando el dominio “localhost6”.
La falla recibió un puntaje de 5.7/10.
CVE-2021-27568: La validación de entrada incorrecta dentro del componente Servicios REST (netplex json-smart-v1) en PeopleSoft Enterprise PeopleTools permitiría a los hackers remotos no autenticados aprovechar esta vulnerabilidad para leer datos o bloquear la aplicación afectada.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 7.9/10.
CVE-2019-17195: Esta vulnerabilidad existe debido a que Nimbus JOSE+JWT arroja varias excepciones no detectadas al analizar un JWT. Los hackers remotos pueden enviar tokens JWT especialmente diseñados y forzar un bloqueo de la aplicación afectada.
La vulnerabilidad recibió un puntaje CVSS de 6.4/10.
Este conjunto de vulnerabilidades fue detectado en las siguientes versiones de PeopleSoft Enterprise PeopleTools: v8.58 8.59 y 8v.59.
Las fallas pueden ser explotadas por actores de amenazas no autenticados; la mayoría de los ataques requieren que los atacantes engañen a las víctimas para que visiten un sitio web especialmente diseñados o abran archivos maliciosos recibidos por email. Hasta el momento no se han detectado incidentes de explotación activa o la existencia de una variante de malware vinculada al ataque.
Los parches de seguridad para abordar estas fallas ya están disponibles, por lo que los usuarios de implementaciones afectadas deben actualizar a la brevedad. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
El cargo 9 vulnerabilidades críticas en PeopleSoft Enterprise PeopleTools apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.
Ver Fuente
No hay comentarios.:
Publicar un comentario