Este boletín de seguridad contiene información sobre 2 vulnerabilidades.
1) Inyección de comandos del sistema operativo
Riesgo: Alto
CVE-ID: CVE-2022-43396
CWE-ID: Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo (‘Inyección de comando del sistema operativo’)
Descripción
La vulnerabilidad permite que un atacante remoto ejecute comandos de shell arbitrarios en el sistema de destino.
La vulnerabilidad existe debido a una validación de entrada incorrecta. Un atacante remoto no autenticado puede pasar datos especialmente diseñados a la aplicación y ejecutar comandos arbitrarios del sistema operativo en el sistema de destino.
Tenga en cuenta que la vulnerabilidad existe debido a un parche incompleto para #VU68114 (CVE-2022-24697).
Mitigación
Instalar actualizaciones desde el sitio web del proveedor.
Versiones de software vulnerables
Apache Kylin: 4.0.0 – 4.0.2, 3.1.0 – 3.1.3, 3.0.0 – 3.0.2, 2.6.0 – 2.6.6, 2.5.0 – 2.5.2, 2.4.0 – 2.4.1 , 2.3.0 – 2.3.2, 2.2.0, 2.1.0, 2.0.0
http://github.com/apache/kylin/pull/2011
2) Inyección de comandos del sistema operativo
Riesgo: Alto
CVE-ID: CVE-2022-44621
Neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo (‘Inyección de comando del sistema operativo’)
Descripción
La vulnerabilidad permite que un atacante remoto ejecute comandos de shell arbitrarios en el sistema de destino.
La vulnerabilidad existe debido a una validación de entrada incorrecta al procesar solicitudes HTTP. Un atacante remoto no autenticado puede pasar datos especialmente diseñados a la aplicación y ejecutar comandos arbitrarios del sistema operativo en el sistema de destino.
La explotación exitosa de esta vulnerabilidad puede resultar en un compromiso completo del sistema vulnerable.
Mitigación
Instalar actualizaciones desde el sitio web del proveedor.
Versiones de software vulnerables
Apache Kylin: 4.0.0 – 4.0.2, 3.1.0 – 3.1.3, 3.0.0 – 3.0.2, 2.6.0 – 2.6.6, 2.5.0 – 2.5.2, 2.4.0 – 2.4.1 , 2.3.0 – 2.3.2, 2.2.0, 2.1.0, 2.0.0
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
