CERT-In emitió alertas el lunes sobre las vulnerabilidades en los productos de Mozilla y Drupal que podrían permitir a los atacantes remotos eludir las restricciones.
(Suscríbase a nuestro boletín de tecnología, Today’s Cache, para obtener información sobre temas emergentes en la intersección de la tecnología, los negocios y la política. Haga clic aquí para suscribirse de forma gratuita).
CERT-In (Equipo de respuesta a emergencias informáticas) emite regularmente alertas de amenazas sobre vulnerabilidades en el software que los atacantes podrían utilizar para comprometer la seguridad de los sistemas afectados.
En los productos de Mozilla
Las vulnerabilidades de alta gravedad en los productos de Mozilla podrían permitir a los atacantes remotos eludir las restricciones de seguridad, ejecutar código arbitrario y provocar una denegación de servicio.
La vulnerabilidad en los productos de Mozilla existe debido al abuso de su manejo de errores XSLT, el iframe de origen cruzado que hace referencia a un documento XSLT, la carrera de datos en la función PK11_ChangePW que da como resultado un error de uso después de errores de seguridad de memoria en el motor del navegador.
Los atacantes pueden aprovechar estas vulnerabilidades convenciendo a la víctima para que abra una solicitud web especialmente diseñada.
Cuando se explotan con éxito, las vulnerabilidades podrían permitir a los atacantes remotos eludir las restricciones de seguridad, ejecutar código arbitrario y provocar la denegación de servicio en los sistemas objetivo.
Se ha sugerido la actualización del software de Mozilla para corregir las vulnerabilidades.
En el módulo Elavon Commerce de Drupal
Se han detectado vulnerabilidades de gravedad media en el módulo Elavon Commerce de Drupal.
Drupal es un software de código abierto que se utiliza principalmente para crear y administrar sitios web. Existe una vulnerabilidad de gravedad media en su módulo Elavon Commerce debido a que el módulo no verifica correctamente que se está comunicando con el servidor correcto al usar la pasarela de pago de Elavon (en las instalaciones).
Un atacante puede explotar la vulnerabilidad enviando una solicitud maliciosa especialmente diseñada al sistema de destino.
La explotación exitosa de la vulnerabilidad podría permitir a los atacantes eludir las restricciones de seguridad. Los atacantes también pueden filtrar detalles de pago válidos y aceptar detalles de pago no válidos al explotar esta vulnerabilidad.
Se ha sugerido la implementación de actualizaciones disponibles por Drupal Security Advisory para corregir la vulnerabilidad.
