GitLab ha corregido recientemente una vulnerabilidad que, de ser explotada, podría permitir la toma de control de cuentas de usuario en la plataforma. Registrada como CVE-2022-1162, obtiene una puntuación de 9.1 en la escala CVSS. En versiones vulnerables, se establece una contraseña predecible al registrar una cuenta utilizando un proveedor de autenticación externo, como … [Leer más...] acerca de Corregida vulnerabilidad crítica en GitLab
cvss
Clave SSH por defecto permitía acceso root en Cisco Policy Suite
La última actualización de Cisco Policy Suite obligará a cambiar la clave SSH por defecto para el usuario root, debido a que la clave estática utilizada en las instalaciones existentes era insegura Cisco ha lanzado la nueva versión 21.2.0 de su conjunto de herramientas Cisco Policy Suite, la cual da solución a la vulnerabilidad con identificador CVE-2021-40119, catalogada … [Leer más...] acerca de Clave SSH por defecto permitía acceso root en Cisco Policy Suite
ModSecurity 3 con Nginx vulnerable a ataque DoS
El ataque, que provoca un 'segmentation fault' por un análisis incorrecto de las cookies, ha sido catalogado con un CVSS de 7.5 Ervin Hegedüs, un colaborador habitual del proyecto de software libre ModSecurity, ha encontrado, junto con otros usuarios, un fallo en la forma en que ModSecurity 3 interpreta las cookies, la cual puede aprovecharse para producir una violación de … [Leer más...] acerca de ModSecurity 3 con Nginx vulnerable a ataque DoS
Fallo en Paypal permitía obtener la contraseña en plano
La vulnerabilidad, la cual ha sido catalogada con un CVSS 8.0, permitía a un atacante obtener las credenciales del usuario desde el servidor Indagando sobre el funcionamiento de PayPal, el investigador de seguridad Alex Birsan descubrió el pasado año un fichero Javascript dinámico en la plataforma de pagos online que contenía dos valores relevantes (el 'csrf' y el … [Leer más...] acerca de Fallo en Paypal permitía obtener la contraseña en plano
