Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Authentication bypass

Salto de autenticación en los routers Asus GT-AC2900

Por Dejar un comentario

La vulnerabilidad descubierta, explotable con la configuración por defecto del router, permite el acceso al panel de administración sin disponer de credenciales. El investigador de seguridad Chris Bellows de Atredis ha descubierto una vulnerabilidad en el mecanismo de autenticación del router GT-AC2900 de Asus, la cual afecta a la comprobación de la cookie de sesión. Este … [Leer más...] acerca deSalto de autenticación en los routers Asus GT-AC2900

Salto de autenticación en Apache Pulsar Manager

Por Dejar un comentario

Recientemente se hizo pública una vulnerabilidad para Apache Pulsar Manager que podría permitir realizar un bypass al proceso de autenticación. La vulnerabilidad, reportada a Apache por el investigador @threedr3am y etiquetada con el identificador CVE-2020-17520, afecta a la versión 0.1.0 de Apache Pulsar Manager, la herramienta con interfaz gráfica de usuario que permite … [Leer más...] acerca deSalto de autenticación en Apache Pulsar Manager

Vulnerabilidad crítica en SAP NetWeaver permite secuestrar los servidores sin autenticación

Por Dejar un comentario

El fallo afecta a los productos de SAP que utilizan el componente web SAP NetWeaver, permitiendo crear usuarios con privilegios elevados SAP, la conocida empresa de software de gestión empresarial, acaba de publicar un parche que soluciona varios errores en SAP NetWeaver AS JAVA en su componente web. Las mayor de las vulnerabilidades afecta al asistente de configuración … [Leer más...] acerca deVulnerabilidad crítica en SAP NetWeaver permite secuestrar los servidores sin autenticación

Vulnerabilidad sin parchear permite secuestrar routers Centurylink

Por Dejar un comentario

Para la explotación del fallo, el cual se reportó hace casi 5 meses, sólo es necesaria una petición al dispositivo sin credenciales. Investigando si los routers de Centurylink cuentan con protección contra falsificación de peticiones en sitios cruzados (del inglés 'Cross-Site Request Forgery' o CSRF), el grupo de seguridad Lykosec encontró que no sólo estos routers no … [Leer más...] acerca deVulnerabilidad sin parchear permite secuestrar routers Centurylink

Bypass mediante SQL Injection en Alexa

Por Dejar un comentario

Si hay algo que los usuarios de las nuevas tecnologías se están viendo obligados a comprender actualmente, es que casi todo lo que nos rodea puede ser vulnerado de manera que quien lleva a cabo el ataque tenga acceso a nuestros datos personales e información privada, la cual puede ir desde nuestro número de teléfono a nuestra cuenta bancaria. Y es que por muy seguras que … [Leer más...] acerca deBypass mediante SQL Injection en Alexa