Múltiples vulnerabilidades en productos Oracle

18/07/2024 Noticias 0

Se han reportado múltiples vulnerabilidades en los productos de Oracle, que resuelven un total de 386 nuevas vulnerabilidades, algunas de las cuales son críticas, que podrían ser aprovechadas por actores maliciosos para provocar denegación de servicio, divulgación de información confidencial, manipulación de datos y elusión de restricciones de seguridad.


 Productos y Tecnologías afectadas:

  • Oracle MySQL
  • Java SE
  • Servidor de base de datos Oracle
  • Servidor WebLogic
  • VirtualBox

Para otros productos de Oracle, consulte el siguiente enlace:

https://www.oracle.com/security-alerts/cpujul2024.html


 
 Impacto:

Algunas de las vulnerabilidades de severidades críticas, se identifican como:

CVE-2024-36944: con una puntuación en CVSSv3 de 9.8, de severidad crítica. Esta vulnerabilidad de por sí sola no se puede explotar, en conjunto con la deserialización de objetos Java dentro de una aplicación, lo que podría permitir a un actor malicioso borrar contenidos de archivos arbitrarios, realizar conexiones de red o posiblemente ejecutar código arbitrario. 
 

CVE-2024-47248: con una puntuación en CVSSv3 de 9.8, de severidad crítica. Esta vulnerabilidad podría permitir a un actor malicioso obtener acceso no autorizado a los sistemas, robar información confidencial, instalar malware y realizar otras actividades maliciosas. El impacto puede ser grave y afectar la seguridad y la integridad de la información de la organización.
 

CVE-2024-45378: con una puntuación en CVSSv3 de 9.8, de severidad crítica. Esta vulnerabilidad podría permitir a un actor malicioso obtener acceso no autorizado al sistema, lo que podría resultar en la divulgación de información confidencial, la alteración de datos o incluso la ejecución de código malicioso.


 CVE-2024-34034: con una puntuación en CVSSv3 de 9.8, de severidad crítica. Esta vulnerabilidad que se presenta en la configuración de Spring Security para WebFlux, donde el uso del patrón «**» puede generar una falta de coincidencia en la coincidencia de patrones entre Spring Security y Spring WebFlux, lo que podría derivar en una posible evasión de seguridad.

El listado de los siguientes productos afectados con severidades críticas, altas, medias y bajas se detalla en: 

https://www.oracle.com/security-alerts/cpujul2024verbose.html

Recomendación:

Actualizar a la última versión disponible de los productos afectados desde la página web oficial del fabricante. 


 Referencia:

https://www.oracle.com/security-alerts/cpujul2024.html 

Compartir: