Especialistas en ciberseguridad reportan la detección de cuatro vulnerabilidades críticas en Hyperion Infrastructure Technology, una solución centralizada para la planificación financiera y operativa en entornos empresariales desarrollada por la firma tecnológica Oracle. Acorde al reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas acceder a información confidencial y desplegar múltiples variantes de ataque.
A continuación se presentan breves descripciones de las vulnerabilidades reportadas. También se presentan las claves de identificación de estas fallas y sus puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2019-2729: La validación insegura de entrada al procesar datos serializados dentro de la clase XMLDecoder permitiría a los actores de amenazas remotos no autenticados pasar datos especialmente diseñados a la aplicación afectada y ejecutar código arbitrario.
Esta es una falla considerada como crítica y recibió un puntaje CVSS de 9.4/10. Es importante mencionar que esta vulnerabilidad ya ha sido explotada en escenarios reales para comprometer por completo los sistemas afectados.
CVE-2021-2347: La validación inadecuada de entradas dentro del componente de administración del ciclo de vida en Hyperion permitiría a los usuarios remotos privilegiados manipular la información ingresada al sistema.
Esta es una falla de severidad media y recibió un puntaje CVSS de 4.5/10.
CVE-2021-2445: La validación de entrada incorrecta dentro del componente de administración del ciclo de vida en Hyperion permitiría a los usuarios remotos con altos privilegios manipular información relevante en el sistema.
La vulnerabilidad recibió un puntaje CVSS de 5/10.
CVE-2017-14735: La desinfección insuficiente de los datos proporcionados por el usuario permite a los atacantes remotos engañar a la víctima para abrir un enlace especialmente diseñado que ejecutará código HTML en el contexto de un sitio web vulnerable.
La falla recibió un puntaje de 5.3/10 y su explotación exitosa permitiría a los actores de amenazas desplegar ataques de scripts entre sitios (XSS).
Todas estas fallas residen en las siguientes versiones de Hyperion Infrastructure Technology: v11.1.2.4 y v11.2.5.0.
Como se menciona anteriormente, estas vulnerabilidades podrían ser o han sido explotadas por actores de amenazas remotos a través de Internet, por lo que es imperativo que los administradores de implementaciones afectadas actualicen a una versión segura lo antes posible.
Los parches de seguridad para abordar estas vulnerabilidades ya han sido emitidos por Oracle y están disponibles a través de sus plataformas oficiales. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
