Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • CISA agrega la aclamada vulnerabilidad USAHERDS al catálogo KEV en medio de una explotación activa
  • Tecnología

CISA agrega la aclamada vulnerabilidad USAHERDS al catálogo KEV en medio de una explotación activa

teknomers 24 de Aralık de 2024 (Last updated: 24 de Aralık de 2024) 3 minutes read
CISA agrega la aclamada vulnerabilidad USAHERDS al catálogo KEV en


24 de diciembre de 2024Ravie LakshmananVulnerabilidad/Seguridad del software

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado una falla de seguridad de alta gravedad ahora parcheada que afecta a Acclaim Systems USAHERDS a las vulnerabilidades explotadas conocidas (KEV) catálogo, basado en evidencia de explotación activa en la naturaleza.

La vulnerabilidad en cuestión es CVE-2021-44207 (Puntuación CVSS: 8,1), un caso de credenciales estáticas codificadas en Acclaim USAHERDS que podrían permitir a un atacante ejecutar código arbitrario en servidores susceptibles.

Específicamente, se trata del uso de valores estáticos de ValidationKey y DecryptionKey en la versión 7.4.0.1 y anteriores que podrían usarse como arma para lograr la ejecución remota de código en el servidor que ejecuta la aplicación. Dicho esto, un atacante tendría que aprovechar otros medios para obtener las claves en primer lugar.

“Estas claves se utilizan para proporcionar seguridad a la aplicación ViewState”, Mandiant, propiedad de Google. dicho en un aviso sobre la falla en diciembre de 2021. “Un actor de amenazas con conocimiento de estas claves puede engañar al servidor de aplicaciones para que deserialice datos ViewState creados con fines malintencionados”.

Ciberseguridad

“Un actor de amenazas con conocimiento de la clave de validación y la clave de descifrado de una aplicación web puede construir un ViewState malicioso que pase la verificación MAC y será deserialado por el servidor. Esta deserialización puede resultar en la ejecución de código en el servidor”.

Si bien no hay nuevos informes de que CVE-2021-44207 se haya utilizado como arma en ataques del mundo real, se identificó que la vulnerabilidad había sido abusada por el actor de amenazas APT41 vinculado a China en 2021 como un día cero como parte de ataques dirigidos a seis EE. UU. redes del gobierno estatal.

Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen mitigaciones proporcionadas por los proveedores antes del 13 de enero de 2025 para proteger sus redes contra amenazas activas.

El desarrollo se produce cuando Adobe advirtió sobre una falla de seguridad crítica en ColdFusion (CVE-2024-53961puntuación CVSS: 7,8), que, según dijo, ya tiene un exploit de prueba de concepto (PoC) conocido que podría provocar una lectura arbitraria del sistema de archivos.

La vulnerabilidad se solucionó en ColdFusion 2021 Update 18 y ColdFusion 2023 Update 12. Se recomienda a los usuarios que apliquen los parches lo antes posible para mitigar los riesgos potenciales.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: En uno de los días de mayor actividad del año en EE.UU.: un “problema técnico” mantiene a todos los aviones de American Airlines en tierra durante horas
Next: El alcalde se solidariza con las víctimas del incendio de Roderwolde: “Esto le da a la Navidad un toque muy desagradable”

Related Stories

Almacenamiento en línea: últimas horas para aprovechar el almacenamiento pCloud
  • Tecnología

Almacenamiento en línea: últimas horas para aprovechar el almacenamiento pCloud de por vida por menos de 200€

teknomers 11 de Temmuz de 2026
Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?
  • Tecnología

Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?

teknomers 11 de Temmuz de 2026
PlayStation y la muerte del disco: por qué el mejor
  • Tecnología

PlayStation y la muerte del disco: por qué el mejor golpe de marketing de Sony se vuelve en su contra

teknomers 11 de Temmuz de 2026

You May Have Missed

  • Deporte

Cuartos de final de la Copa del Mundo 2026: Una guía sobre los penaltis

teknomers 11 de Temmuz de 2026
  • General

La psicología de los correos electrónicos largos: La psicología dice que las personas que siempre escriben correos electrónicos extensos no intentan parecer inteligentes; pueden estar tratando de comunicarse con claridad y reducir malentendidos.

teknomers 11 de Temmuz de 2026
Un equipo de Francia « sin franceses »: los comentarios
  • Deporte

Un equipo de Francia « sin franceses »: los comentarios de tintes racistas del ex Primer Ministro español Mariano Rajoy

teknomers 11 de Temmuz de 2026
Almacenamiento en línea: últimas horas para aprovechar el almacenamiento pCloud
  • Tecnología

Almacenamiento en línea: últimas horas para aprovechar el almacenamiento pCloud de por vida por menos de 200€

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.