{"id":827505,"date":"2023-06-28T08:16:35","date_gmt":"2023-06-28T08:16:35","guid":{"rendered":"https:\/\/teknomers.com\/es\/fallos-criticos-de-inyeccion-sql-exponen-a-gentoo-soko-a-la-ejecucion-remota-de-codigo\/"},"modified":"2023-06-28T08:16:38","modified_gmt":"2023-06-28T08:16:38","slug":"fallos-criticos-de-inyeccion-sql-exponen-a-gentoo-soko-a-la-ejecucion-remota-de-codigo","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/fallos-criticos-de-inyeccion-sql-exponen-a-gentoo-soko-a-la-ejecucion-remota-de-codigo\/","title":{"rendered":"Fallos cr\u00edticos de inyecci\u00f3n SQL exponen a Gentoo Soko a la ejecuci\u00f3n remota de c\u00f3digo"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">28 de junio de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad de punto final \/ RCE<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se han revelado m\u00faltiples vulnerabilidades de inyecci\u00f3n SQL en Gentoo Soko que podr\u00edan conducir a la ejecuci\u00f3n remota de c\u00f3digo (RCE) en sistemas vulnerables.<\/p>\n<p>&#8220;Estas inyecciones de SQL ocurrieron a pesar del uso de una biblioteca de mapeo relacional de objetos (ORM) y declaraciones preparadas&#8221;, dijo el investigador de SonarSource, Thomas Chauchefoin. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sonarsource.com\/blog\/why-orms-and-prepared-statements-cant-always-win\/\" target=\"_blank\">dicho<\/a>agregando que podr\u00edan resultar en RCE en Soko debido a una &#8220;configuraci\u00f3n incorrecta de la base de datos&#8221;.<\/p>\n<p>El <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/gentoo\/soko\/security\/advisories\/GHSA-gc2x-86p3-mxg2\" target=\"_blank\">dos<\/a> <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/gentoo\/soko\/security\/advisories\/GHSA-45jr-w89p-c843\" target=\"_blank\">asuntos<\/a>, que se descubrieron en la funci\u00f3n de b\u00fasqueda de Soko, se han rastreado colectivamente como CVE-2023-28424 (puntuaci\u00f3n CVSS: 9,1).  Se abordaron dentro de las 24 horas posteriores a la divulgaci\u00f3n responsable el 17 de marzo de 2023.<\/p>\n<p>Soko es un m\u00f3dulo de software Go que alimenta <a rel=\"nofollow noopener\" href=\"https:\/\/packages.gentoo.org\/\" target=\"_blank\">paquetes.gentoo.org<\/a>ofreciendo a los usuarios una manera f\u00e1cil de buscar a trav\u00e9s de diferentes paquetes de Portage que est\u00e1n disponibles para la distribuci\u00f3n de Gentoo Linux.<\/p>\n<p>Pero las deficiencias identificadas en el servicio significaron que podr\u00eda haber sido posible que un actor malintencionado <a rel=\"nofollow noopener\" href=\"https:\/\/capec.mitre.org\/data\/definitions\/66.html\" target=\"_blank\">inyectar c\u00f3digo especialmente dise\u00f1ado<\/a>lo que resulta en la exposici\u00f3n de informaci\u00f3n sensible. <\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/www.memcyco.com\/home\/library\/the-untold-cost-of-brand-impersonation-ebook\/?utm_source=thn&amp;utm_medium=referral&amp;utm_campaign=ebook-campaign\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/06\/La-nueva-campana-en-curso-apunta-al-ecosistema-npm-con.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Las inyecciones de SQL eran explotables y ten\u00edan la capacidad de revelar la versi\u00f3n del servidor PostgreSQL y ejecutar comandos arbitrarios en el sistema&#8221;, dijo SonarSource.<\/p>\n<p>El desarrollo llega meses despu\u00e9s de SonarSource <a rel=\"nofollow noopener\" href=\"https:\/\/www.sonarsource.com\/blog\/odoo-get-your-content-type-right-or-else\/\" target=\"_blank\">descubierto<\/a> una falla de secuencias de comandos entre sitios (XSS) en una suite comercial de c\u00f3digo abierto llamada Odoo que podr\u00eda explotarse para hacerse pasar por cualquier v\u00edctima en una instancia vulnerable de Odoo, as\u00ed como para extraer datos valiosos.<\/p>\n<p>A principios de este a\u00f1o, tambi\u00e9n se revelaron debilidades de seguridad en software de c\u00f3digo abierto como <a rel=\"nofollow noopener\" href=\"https:\/\/www.sonarsource.com\/blog\/pretalx-vulnerabilities-how-to-get-accepted-at-every-conference\/\" target=\"_blank\">Pretalx<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/www.sonarsource.com\/blog\/openemr-remote-code-execution-in-your-healthcare-system\/\" target=\"_blank\">OpenEMR<\/a> eso podr\u00eda allanar el camino para que los atacantes remotos ejecuten c\u00f3digo arbitrario.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/critical-sql-injection-flaws-expose.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80228 de junio de 2023\ue804Ravie Lakshman\u00e1nSeguridad de punto final \/ RCE Se han revelado m\u00faltiples vulnerabilidades de inyecci\u00f3n<\/p>\n","protected":false},"author":1,"featured_media":827506,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,706,4664,6215,11214,26487,15566,4662,171350,9455,4668,4667,4654,4658,4659,4653,4655,4663,17256,4666,4665,171351,7984,4660],"class_list":["post-827505","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-codigo","tag-como-hackear","tag-criticos","tag-ejecucion","tag-exponen","tag-fallos","tag-filtracion-de-datos","tag-gentoo","tag-inyeccion","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-remota","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-soko","tag-sql","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/827505","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=827505"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/827505\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/827506"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=827505"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=827505"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=827505"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}