La vulnerabilidad descubierta, explotable con la configuración por defecto del router, permite el acceso al panel de administración sin disponer de credenciales. El investigador de seguridad Chris Bellows de Atredis ha descubierto una vulnerabilidad en el mecanismo de autenticación del router GT-AC2900 de Asus, la cual afecta a la comprobación de la cookie de sesión. Este … [Read more...] about Salto de autenticación en los routers Asus GT-AC2900
Authentication bypass
Salto de autenticación en Apache Pulsar Manager
Recientemente se hizo pública una vulnerabilidad para Apache Pulsar Manager que podría permitir realizar un bypass al proceso de autenticación. La vulnerabilidad, reportada a Apache por el investigador @threedr3am y etiquetada con el identificador CVE-2020-17520, afecta a la versión 0.1.0 de Apache Pulsar Manager, la herramienta con interfaz gráfica de usuario que permite … [Read more...] about Salto de autenticación en Apache Pulsar Manager
Vulnerabilidad crítica en SAP NetWeaver permite secuestrar los servidores sin autenticación
El fallo afecta a los productos de SAP que utilizan el componente web SAP NetWeaver, permitiendo crear usuarios con privilegios elevados SAP, la conocida empresa de software de gestión empresarial, acaba de publicar un parche que soluciona varios errores en SAP NetWeaver AS JAVA en su componente web. Las mayor de las vulnerabilidades afecta al asistente de configuración … [Read more...] about Vulnerabilidad crítica en SAP NetWeaver permite secuestrar los servidores sin autenticación
Vulnerabilidad sin parchear permite secuestrar routers Centurylink
Para la explotación del fallo, el cual se reportó hace casi 5 meses, sólo es necesaria una petición al dispositivo sin credenciales. Investigando si los routers de Centurylink cuentan con protección contra falsificación de peticiones en sitios cruzados (del inglés 'Cross-Site Request Forgery' o CSRF), el grupo de seguridad Lykosec encontró que no sólo estos routers no … [Read more...] about Vulnerabilidad sin parchear permite secuestrar routers Centurylink
Bypass mediante SQL Injection en Alexa
Si hay algo que los usuarios de las nuevas tecnologías se están viendo obligados a comprender actualmente, es que casi todo lo que nos rodea puede ser vulnerado de manera que quien lleva a cabo el ataque tenga acceso a nuestros datos personales e información privada, la cual puede ir desde nuestro número de teléfono a nuestra cuenta bancaria. Y es que por muy seguras que … [Read more...] about Bypass mediante SQL Injection en Alexa