Camaleon CMS is a dynamic and advanced content management system based on Ruby on Rails. An arbitrary file write vulnerability accessible via the upload method of the MediaController allows authenticated users to write arbitrary files to any location on the web server Camaleon CMS is running on (depending on the permissions of the underlying filesystem). E.g. This can lead to a delayed remote code execution in case an attacker is able to write a Ruby file into the config/initializers/ subfolder of the Ruby on Rails application. This issue has been addressed in release version 2.8.2. Users are advised to upgrade. There are no known workarounds for this vulnerability.
18/09/2024
18/09/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
Gravedad 3.1 (CVSS 3.1 Base Score)
9.90
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
XWiki Platform is a generic wiki platform offering runtime services for applications built on top of it. It's possible to get access to notification filters of any user by using a URL such as `xwiki/bin/get/XWiki/Notifications/Code/NotificationFilterPreferenceLivetableResults?outputSyntax=plain&type=custom&user=`. This vulnerability impacts all versions of XWiki since 13.2-rc-1. The filters do not provide much information (they mainly contain references which are public data in XWiki), though some info could be used in combination with other vulnerabilities. This vulnerability has been patched in XWiki 14.10.21, 15.5.5, 15.10.1, 16.0RC1. The patch consists in checking the rights of the user when sending the data. Users are advised to upgrade. It's possible to workaround the vulnerability by applying manually the patch: it's possible for an administrator to edit directly the document `XWiki.Notifications.Code.NotificationFilterPreferenceLivetableResults` to apply the same changes as in the patch. See commit c8c6545f9bde6f5aade994aa5b5903a67b5c2582.
18/09/2024
18/09/2024
Vector CVSS:3.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
Gravedad 3.1 (CVSS 3.1 Base Score)
5.30
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
“Estos modelos los utilizan principalmente para encontrar patrones que a simple vista no se puede detectar. Me refiero a toda esa cantidad de información que se genera hoy en día en cualquier parte del sistema, como la parte de un acceso a un sistema, los dispositivos conectados a Internet, el Internet de las Cosas o también todos los sensores que arrojan algún tipo de dato», dijo el security researcher de Eset.
En las compañías, el eslabón más vulnerable de la ciberseguridad es el usuario final. Para comprender cómo es que un ciberdelincuente puede aprovechar la IA, es fundamental conocer las interacciones de los empleados con la nueva tecnología sin estigmatizarla en el proceso. Bert Milan se refiere a este apartado como tener visibilidad.
“Para protegernos de una ciber amenaza nos hace falta visibilidad. Necesitamos ver lo que está atravesando el espacio digital del usuario final. Las primeras cosas que preguntamos a nuestros clientes es qué tanto usan la IA internamente, cuáles herramientas están usando y cómo las controlan. Hay que saber en qué otros sistemas están conectados y qué comparten con él”, contó el representante de Palo Alto Networks.
Sebastián Russo, director de ingeniería de Fortinet México, David González, security researcher de Eset, Abraham Maravillas, service delivery engineer de Appdome y Bert Milan, vicepresidente de América Latina y el Caribe en Palo Alto Networks.
WIRED en Español
No se puede negar que la adopción del trabajo remoto propio de un mundo post pandemia atrajo ventajas de productividad a las empresas y al mismo tiempo riesgos en sus sistemas de datos. En esos escenarios, la compañías deben determinar estrategias de seguridad según el puesto del trabajador.
“Tienes que saber cuál es tu core. Si eres una institución financiera o el empleado es un administrador de base datos no vas a dejar que se use una computadora personal a la que solo le concedas accesos o que se conecte desde cualquier red pública. Las áreas de ventas se suelen operar desde el teléfono personal, pero ahí hay muchas vulnerabilidades”, contó Abraham Maravillas.
Hackers suplantan dependencias de gobierno de la Ciudad de México en esta campaña masiva de phishing
El caso reaviva las preocupaciones sobre un problema de seguridad que causa pérdidas económicas a millones de mexicanos.
La ciberseguridad no es un gasto
Los ciberdelincuentes seguirán adaptándose a las estrategias de seguridad e idearán nuevas formas de vulneración. Este ciclo no tendrá fin en un futuro cercano, por lo que los panelistas del WIRED Summit 2024 invitaron a tomarse en serio el apartado. Después de todo, el prestigio de la compañía está en juego.
«En América latina, las malas prácticas son las que llevan a los ataques. El phishing es un ejemplo. Lleva 20 años atacando. Ahora se automatiza con IA. Es necesario poner a prueba al personal para poder fortalecer la cadena. El problema es que las empresas ven a la ciberseguridad como un gasto y no como una inversión. No es hasta que ocurre una desgracia que toman en cuenta a la ciberseguridad», refiere David González. “Hoy el asset más valioso que tiene una compañía es la información. Para bien o para mal, la información está en digital y ya no en papel. Mientras eso no cambie, la ciberseguridad debe ser una inversión”, añade Sebastián Russo.
“La automatización no debe perderse de vista. Las plataformas deben estar preparados para verificar los comportamientos de la IA en tiempo real. Cada vez necesitaremos más sistemas automáticos de defensa para contrarrestar en juego ofensivo”, señaló Bert Milan.
Files or Directories Accessible to External Parties vulnerability in Eliz Software Panel allows Collect Data from Common Resource Locations.This issue affects Panel: before v2.3.24.
18/09/2024
18/09/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Eliz Software Panel allows Reflected XSS.This issue affects Panel: before v2.3.24.
18/09/2024
18/09/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Plaintext Storage of a Password vulnerability in Eliz Software Panel allows : Use of Known Domain Credentials.This issue affects Panel: before v2.3.24.
18/09/2024
18/09/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Eliz Software Panel allows Stored XSS.This issue affects Panel: before v2.3.24.
18/09/2024
18/09/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') vulnerability in Eliz Software Panel allows Command Line Execution through SQL Injection.This issue affects Panel: before v2.3.24.
18/09/2024
18/09/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Draytek Vigor 3910 v4.3.2.6 was discovered to contain a buffer overflow in the iprofileidx parameter at dialin.cgi. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input.
18/09/2024
18/09/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
Draytek Vigor 3910 v4.3.2.6 was discovered to contain a buffer overflow in the sPubKey parameter at dialin.cgi. This vulnerability allows attackers to cause a Denial of Service (DoS) via a crafted input.
18/09/2024
18/09/2024
Gravedad 3.1 Txt Gravedad 3.1 (CVSS 3.1 Base Score)
