Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • CISA agrega la aclamada vulnerabilidad USAHERDS al catálogo KEV en medio de una explotación activa
  • Tecnología

CISA agrega la aclamada vulnerabilidad USAHERDS al catálogo KEV en medio de una explotación activa

teknomers 24 de Aralık de 2024 (Last updated: 24 de Aralık de 2024) 3 minutes read
CISA agrega la aclamada vulnerabilidad USAHERDS al catálogo KEV en


24 de diciembre de 2024Ravie LakshmananVulnerabilidad/Seguridad del software

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado una falla de seguridad de alta gravedad ahora parcheada que afecta a Acclaim Systems USAHERDS a las vulnerabilidades explotadas conocidas (KEV) catálogo, basado en evidencia de explotación activa en la naturaleza.

La vulnerabilidad en cuestión es CVE-2021-44207 (Puntuación CVSS: 8,1), un caso de credenciales estáticas codificadas en Acclaim USAHERDS que podrían permitir a un atacante ejecutar código arbitrario en servidores susceptibles.

Específicamente, se trata del uso de valores estáticos de ValidationKey y DecryptionKey en la versión 7.4.0.1 y anteriores que podrían usarse como arma para lograr la ejecución remota de código en el servidor que ejecuta la aplicación. Dicho esto, un atacante tendría que aprovechar otros medios para obtener las claves en primer lugar.

“Estas claves se utilizan para proporcionar seguridad a la aplicación ViewState”, Mandiant, propiedad de Google. dicho en un aviso sobre la falla en diciembre de 2021. “Un actor de amenazas con conocimiento de estas claves puede engañar al servidor de aplicaciones para que deserialice datos ViewState creados con fines malintencionados”.

Ciberseguridad

“Un actor de amenazas con conocimiento de la clave de validación y la clave de descifrado de una aplicación web puede construir un ViewState malicioso que pase la verificación MAC y será deserialado por el servidor. Esta deserialización puede resultar en la ejecución de código en el servidor”.

Si bien no hay nuevos informes de que CVE-2021-44207 se haya utilizado como arma en ataques del mundo real, se identificó que la vulnerabilidad había sido abusada por el actor de amenazas APT41 vinculado a China en 2021 como un día cero como parte de ataques dirigidos a seis EE. UU. redes del gobierno estatal.

Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen mitigaciones proporcionadas por los proveedores antes del 13 de enero de 2025 para proteger sus redes contra amenazas activas.

El desarrollo se produce cuando Adobe advirtió sobre una falla de seguridad crítica en ColdFusion (CVE-2024-53961puntuación CVSS: 7,8), que, según dijo, ya tiene un exploit de prueba de concepto (PoC) conocido que podría provocar una lectura arbitraria del sistema de archivos.

La vulnerabilidad se solucionó en ColdFusion 2021 Update 18 y ColdFusion 2023 Update 12. Se recomienda a los usuarios que apliquen los parches lo antes posible para mitigar los riesgos potenciales.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: En uno de los días de mayor actividad del año en EE.UU.: un “problema técnico” mantiene a todos los aviones de American Airlines en tierra durante horas
Next: El alcalde se solidariza con las víctimas del incendio de Roderwolde: “Esto le da a la Navidad un toque muy desagradable”

Related Stories

Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?
  • Tecnología

Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?

teknomers 11 de Temmuz de 2026
PlayStation y la muerte del disco: por qué el mejor
  • Tecnología

PlayStation y la muerte del disco: por qué el mejor golpe de marketing de Sony se vuelve en su contra

teknomers 11 de Temmuz de 2026
VPN de vacaciones: cómo elegir el servidor adecuado en el
  • Tecnología

VPN de vacaciones: cómo elegir el servidor adecuado en el extranjero

teknomers 11 de Temmuz de 2026

You May Have Missed

  • General

La psicología de siempre llegar tarde: La psicología dice que las personas que nunca llegan a tiempo no son desconsideradas, pueden tener dificultades para ser puntuales ya que priorizan las tareas de manera diferente.

teknomers 11 de Temmuz de 2026
  • Deporte

Copa Mundial 2026: Funcionaria de Fifa se niega a responder preguntas sobre la prohibición de la BBC

teknomers 11 de Temmuz de 2026
  • General

“Acusaciones absurdas…”: China y Rusia critican a EE. UU. y Reino Unido en un explosivo enfrentamiento en la ONU sobre la guerra en Irán – Teknomers Video

teknomers 11 de Temmuz de 2026
Noruega-Inglaterra: el video del gol excepcional de Andreas Schjelderup para
  • Deporte

Noruega-Inglaterra: el video del gol excepcional de Andreas Schjelderup para desbloquear los cuartos de final

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.