CERT-In ha descubierto múltiples vulnerabilidades en Microsoft Edge y Drupal Core que permiten a los atacantes remotos eludir las restricciones de seguridad
CERT-In ha descubierto múltiples vulnerabilidades en Microsoft Edge y Drupal Core que permiten a los atacantes remotos eludir las restricciones de seguridad
La alerta de amenaza se compartió en un informe. Indica vulnerabilidades que pueden ser aprovechadas por atacantes remotos para eludir las restricciones de seguridad y ejecutar código arbitrario o provocar la denegación de servicio en los sistemas de destino.
(Suscríbase a nuestro boletín de tecnología, As we speak’s Cache, para obtener información sobre temas emergentes en la intersección de la tecnología, los negocios y el gobierno. Haga clic aquí para suscribirse de forma gratuita).
Las vulnerabilidades que afectan a las versiones de Microsoft Edge anteriores a 103.0.1264.71 existen en el software program de código abierto Chromium utilizado por Microsoft Edge (basado en Chromium).
Las amenazas se pueden usar debido a las siguientes razones: Usar después de free of charge en Vista de invitado, Usar después de free of charge en PDF, Usar después de free of charge en Service Employee API, Usar después de free of charge en Vistas y Validación insuficiente de entrada nichtrusted en Archivo.
Los atacantes remotos pueden explotar las vulnerabilidades enviando solicitudes especialmente diseñadas al sistema de destino. Y su explotación exitosa puede permitir que un atacante eluda las restricciones de seguridad y ejecute código arbitrario.
Según el informe, debería ser posible corregir las vulnerabilidades aplicando las actualizaciones de software program disponibles.
CERT-In también ha emitido alertas de vulnerabilidad para Drupal Core
Núcleo Drupal
Se han descubierto múltiples vulnerabilidades en Drupal Core que podrían permitir a atacantes remotos ejecutar código arbitrario, acceder a información confidencial y provocar ataques de secuencias de comandos entre sitios en los sistemas objetivo.
Según el informe, la vulnerabilidad es que el módulo de imagen no valida correctamente el acceso a los archivos de imagen que no están almacenados en el directorio de archivos público predeterminado.
La vulnerabilidad se puede explotar mediante el envío de solicitudes especialmente diseñadas a los sistemas de destino, y su explotación exitosa podría permitir a los atacantes obtener acceso a información confidencial.
La vulnerabilidad de secuencias de comandos entre sitios en Drupal Core existe porque la ruta del marco Media Embed no valida correctamente los parámetros del dominio. La explotación exitosa de esta vulnerabilidad podría permitir que un atacante ejecute HTML y código de script arbitrarios en el navegador del usuario en el contexto de un sitio internet susceptible.
Las vulnerabilidades se pueden corregir aplicando las actualizaciones apropiadas mencionadas en el Aviso de seguridad de Drupal.
