CNCII

SITIO WEB: cert.gov.ru

E-mail: threats@cert.gov.ru

B í vulnerabilidades
vu b de software
w

VULN.2023-04-19 | 19 de abril de 2023

TLP: WHITE
 2
Lista de vulnerabilidades
Vector de Si hay
№ Gravedad Identificador Producto vulnerable Consequencias
ataque actualizaciones

1 Alta CVE-2022-0629 Ubuntu Local ACE 2023-04-19 ✔

2 Alta CVE-2022-0572 Ubuntu Local ACE 2023-04-19 ✔

3 Alta CVE-2022-0443 Ubuntu Local ACE 2023-04-19 ✔

4 Alta CVE-2022-0408 Ubuntu Local ACE 2023-04-19 ✔

5 Alta CVE-2022-0361 Ubuntu Local ACE 2023-04-19 ✔

6 Alta CVE-2022-0351 Ubuntu Local ACE 2023-04-19 ✔

7 Critical CVE-2022-37434 Oracle Enterprise Session Router De red ACE 2023-04-18 ✔

8 Alta CVE-2023-2033 Microsoft Edge De red ACE 2023-04-15 ✔

9 Alta CVE-2021-23017 Oracle Blockchain Platform De red ACE 2023-04-18 ✔

10 Alta CVE-2022-28327 Oracle Blockchain Platform De red DoS 2023-04-18 ✔

11 Alta CVE-2022-25647 Oracle Blockchain Platform De red DoS 2023-04-18 ✔

12 Critical CVE-2020-35169 Oracle Blockchain Platform De red OAF 2023-04-18 ✔

13 Alta CVE-2020-36518 Oracle Blockchain Platform De red DoS 2023-04-18 ✔

14 Alta CVE-2021-36090 Oracle Blockchain Platform De red DoS 2023-04-18 ✔

15 Critical CVE-2020-27507 Kamailio De red ACE 2023-04-18 ✔

16 Critical CVE-2023-29412 APC Easy UPS Online De red ACE 2023-04-17 ✔

17 Critical CVE-2023-29411 APC Easy UPS Online De red ACE 2023-04-17 ✔

 3

Descripción breve: Ej u go rb r r o Ubuntu

Identificador de vulnerabilidad: CVE-2022-0629
Identificador de error de software: CWE-121 bor o b r
Producto vulnerable: Ubuntu: 22.04, 20.04, 18.04, 14.04
vim (Ubuntu package): hasta 2:8.0.1453-1ubuntu1.13
Categoría de producto vulnerable: Sistemas operativos tipo Unix y sus componentes
Método de funcionamiento: el abrir por un usuario de un archivo malicioso especialmente creado.
Consecuencias de la explotación: Ej u go rb r r o
1 Recomendaciones para su eliminación: E u r b r u u r o ro or b o or o u o
u o r r u r o o u u o o r oo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 8.4 AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Vector de ataque: local
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-19 / 2023-04-19
 Enlaces a la fuente:
 http://ubuntu.com/security/notices/USN-6026-1
 https://bdu.fstec.ru/vul/2022-02385
 4

Descripción breve: Ej u go rb r r o Ubuntu

Identificador de vulnerabilidad: CVE-2022-0572
Identificador de error de software: CWE-122 bor o b r or
Producto vulnerable: Ubuntu: 22.04, 20.04, 18.04, 14.04
vim (Ubuntu package): hasta 2:8.0.1453-1ubuntu1.13
Categoría de producto vulnerable: Sistemas operativos tipo Unix y sus componentes
Método de funcionamiento: el abrir por un usuario de un archivo malicioso especialmente creado.
Consecuencias de la explotación: Ej u go rb r r o
2 Recomendaciones para su eliminación: E u r b r u u r o ro or b o or o u o
u o r r u r o o u u o o r oo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 8.4 AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Vector de ataque: local
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-19 / 2023-04-19
 Enlaces a la fuente:
 http://ubuntu.com/security/notices/USN-6026-1
 https://bdu.fstec.ru/vul/2022-01014
 5

Descripción breve: Ej u go rb r r o Ubuntu

Identificador de vulnerabilidad: CVE-2022-0443
Identificador de error de software: CWE-416 U o r or b r
Producto vulnerable: Ubuntu: 22.04, 20.04, 18.04, 14.04
vim (Ubuntu package): hasta 2:8.0.1453-1ubuntu1.13
Categoría de producto vulnerable: Sistemas operativos tipo Unix y sus componentes
Método de funcionamiento: el abrir por un usuario de un archivo malicioso especialmente creado.
Consecuencias de la explotación: Ej u go rb r r o
3 Recomendaciones para su eliminación: Esta vulnerabilidad se resuelve mediante un parche oficial del prove or b o or o u o
u o r r u r o o u u o o r oo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 8.4 AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Vector de ataque: local
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-19 / 2023-04-19
 Enlaces a la fuente:
 http://ubuntu.com/security/notices/USN-6026-1
 https://bdu.fstec.ru/vul/2022-07168
 6

Descripción breve: Ej u go rb r r o Ubuntu

Identificador de vulnerabilidad: CVE-2022-0408
Identificador de error de software: CWE-121 bor o b r
Producto vulnerable: Ubuntu: 22.04, 20.04, 18.04, 14.04
vim (Ubuntu package): hasta 2:8.0.1453-1ubuntu1.13
Categoría de producto vulnerable: Sistemas operativos tipo Unix y sus componentes
Método de funcionamiento: el abrir por un usuario de un archivo malicioso especialmente creado.
Consecuencias de la explotación: Ej u go rb r r o
4 Recomendaciones para su eliminación: Esta vulnerabilidad se resuelve mediante un parche oficial del proveedor. Debido al entorno actual y a las sanciones
u o r r n Rusa, recomendamos que las actualizaciones de software se instalen solo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 8.4 AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Vector de ataque: local
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-19 / 2023-04-19
 Enlaces a la fuente:
 http://ubuntu.com/security/notices/USN-6026-1
 https://bdu.fstec.ru/vul/2022-00984
 7

Descripción breve: Ej u go rb r r o Ubuntu

Identificador de vulnerabilidad: CVE-2022-0361
Identificador de error de software: CWE-122 bor o b r or
Producto vulnerable: Ubuntu: 22.04, 20.04, 18.04, 14.04
vim (Ubuntu package): hasta 2:8.0.1453-1ubuntu1.13
Categoría de producto vulnerable: Sistemas operativos tipo Unix y sus componentes
Método de funcionamiento: el abrir por un usuario de un archivo malicioso especialmente creado.
Consecuencias de la explotación: Ej u go rb r r o
5 Recomendaciones para su eliminación: E u r b r u u r o ro or b o or o u o
u o r r u r o o u u ones de software se instalen solo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 8.4 AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Vector de ataque: local
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-19 / 2023-04-19
 Enlaces a la fuente:
 http://ubuntu.com/security/notices/USN-6026-1
 https://bdu.fstec.ru/vul/2022-01026
 8

Descripción breve: Ej u go rb r r o Ubuntu

Identificador de vulnerabilidad: CVE-2022-0351
Identificador de error de software: CWE-119 o r o u r or r
Producto vulnerable: Ubuntu: 22.04, 20.04, 18.04, 14.04
vim (Ubuntu package): hasta 2:8.0.1453-1ubuntu1.13
Categoría de producto vulnerable: Sistemas operativos tipo Unix y sus componentes
Método de funcionamiento: el abrir por un usuario de un archivo malicioso especialmente creado.
Consecuencias de la explotación: Ej u go rb r r o
6 Recomendaciones para su eliminación: E u r b r u u r o ro or b o or o u o
u o r r u r o o u u o o r oo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 8.4 AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Vector de ataque: local
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-19 / 2023-04-19
 Enlaces a la fuente:
 http://ubuntu.com/security/notices/USN-6026-1
 https://bdu.fstec.ru/vul/2022-00983
 9

Descripción breve: Ej u go rb r r o Oracle Enterprise Session Router

Identificador de vulnerabilidad: CVE-2022-37434
Identificador de error de software: CWE-122 bor o b r or
Producto vulnerable: Oracle Enterprise Session Router: 9.1
Categoría de producto vulnerable: Software de servidor y sus componentes
Método de funcionamiento: E ío u archivo malicioso especialmente creado
Consecuencias de la explotación: Ej u go rb r r o
7 Recomendaciones para su eliminación: Esta vulnerabilidad se resuelve mediante un parche oficial del proveedor. Deb o or o u o
u o r r u r o o u u o o r oo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 9.8 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Vector de ataque: de red
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-18 / 2023-04-18
 Enlaces a la fuente:
 http://www.oracle.com/security-alerts/cpuapr2023.html?983863
 https://bdu.fstec.ru/vul/2022-05325
 10

Descripción breve: Ej u go rb r r o Microsoft Edge

Identificador de vulnerabilidad: CVE-2023-2033
Identificador de error de software: CWE-843 Acceso a los recursos utilizando tipos incompartibles (mezcla de tipos)
Producto vulnerable: Microsoft Edge: 79.0.309.71 - 112.0.1722.46
Google Chrome: 100.0.4896.60 - 112.0.5615.87
Debian Linux: All versions
chromium (Debian package): hasta 112.0.5615.121-1~deb11u1
Categoría de producto vulnerable: Software aplicado
Método de funcionamiento: br r or u u u r o u g b o r
Consecuencias de la explotación: Ej u go rb r r o
8 Recomendaciones para su eliminación: E u r b r u u r o ro or b o or o u o
u o r r u r o o u u o o r oo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 8.8 AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Vector de ataque: de red
Interacción con el usuario: es necesaria
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-15 / 2023-04-15
 Enlaces a la fuente:
 http://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2023-2033
 http://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
 http://crbug.com/1432210
 http://www.debian.org/security/2023/dsa-5390
 11

Descripción breve: Ej u go rb r r o Oracle Blockchain Platform

Identificador de vulnerabilidad: CVE-2021-23017
Identificador de error de software: CWE-193 Error de desplazamiento de la unidad
Producto vulnerable: Oracle Blockchain Platform: 21.1.0 - 21.1.2
Categoría de producto vulnerable: Software de servidor y sus components
Método de funcionamiento: no definido
Consecuencias de la explotación: Ej u go arbitrario
9 Recomendaciones para su eliminación: E u r b r u u r o ro or b o or o u o
u o r r u r o o u u o o r instalen solo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 7.7 AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L
Vector de ataque: de red
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-18 / 2023-04-18
 Enlaces a la fuente:
 http://www.oracle.com/security-alerts/cpuapr2023.html?952583
 https://bdu.fstec.ru/vul/2021-03045
 12

Descripción breve: g r o Oracle Blockchain Platform

Identificador de vulnerabilidad: CVE-2022-28327
Identificador de error de software: CWE-190 bor o ro o r or o í o
Producto vulnerable: Oracle Blockchain Platform: 21.1.0 - 21.1.2
Categoría de producto vulnerable: Software de servidor y sus components
Método de funcionamiento: E ío datos generados especialmente
Consecuencias de la explotación: g r o
10 Recomendaciones para su eliminación: E u r b r u u r o ro or b o or o u o
u o r r u r o o u u o o r oo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Vector de ataque: de red
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-18 / 2023-04-18
 Enlaces a la fuente:
 http://www.oracle.com/security-alerts/cpuapr2023.html?952583
 13

Descripción breve: g r o Oracle Blockchain Platform

Identificador de vulnerabilidad: CVE-2022-25647
Identificador de error de software: CWE-502 r o o b
Producto vulnerable Oracle Blockchain Platform: 21.1.0 - 21.1.2
Categoría de producto vulnerable: Software de servidor y sus components
Método de funcionamiento: E ío datos generados especialmente
Consecuencias de la explotación: g r o
11 Recomendaciones para su eliminación: E u r b r u u r o ro or b o or o u o
u o r r u r o damos que las actualizaciones de software se instalen solo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 7.7 AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:H
Vector de ataque: de red
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-18 / 2023-04-18
 Enlaces a la fuente:
 http://www.oracle.com/security-alerts/cpuapr2023.html?952583
 14

Descripción breve: El sobrescribir de archivos arbitrarios en Oracle Blockchain Platform

Identificador de vulnerabilidad: CVE-2020-35169
Identificador de error de software: CWE-20 o rob orr o ro u o
Producto vulnerable Oracle Blockchain Platform: 21.1.0 - 21.1.2
Categoría de producto vulnerable: Software de servidor y sus components
Método de funcionamiento: no definido
Consecuencias de la explotación: El sobrescribir de archivos arbitrarios
12 Recomendaciones para su eliminación: E u r b r u u r o ro or b o or o u o
u o r r u r o o u u o o r oo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 9.1 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Vector de ataque: de red
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-18 / 2023-04-18
 Enlaces a la fuente:
 http://www.oracle.com/security-alerts/cpuapr2023.html?952583
 https://bdu.fstec.ru/vul/2022-04370
 15

Descripción breve: g r o Oracle Blockchain Platform

Identificador de vulnerabilidad: CVE-2020-36518
Identificador de error de software: CWE-787 E r ur u r b r
Producto vulnerable Oracle Blockchain Platform: 21.1.0 - 21.1.2
Categoría de producto vulnerable: Software de servidor y sus components
Método de funcionamiento: no definido
Consecuencias de la explotación: g r o
13 Recomendaciones para su eliminación: E u r b r u u r o ro or b o or o u o
u o r r u r o damos que las actualizaciones de software se instalen solo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Vector de ataque: de red
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-18 / 2023-04-18
 Enlaces a la fuente:
 http://www.oracle.com/security-alerts/cpuapr2023.html?952583
 16

Descripción breve: g r o Oracle Blockchain Platform

Identificador de vulnerabilidad: CVE-2021-36090
Identificador de error de software: CWE-400 Uso incontrolado de los recursos (agotamiento de los recursos)
Producto vulnerable Oracle Blockchain Platform: 21.1.0 - 21.1.2
Categoría de producto vulnerable: Software de servidor y sus components
Método de funcionamiento: no definido
Consecuencias de la explotación: g r o
14 Recomendaciones para su eliminación: Esta vulnerabilidad se resuelve mediante un parche oficial de ro or b o or o u o
u o r r u r o o u u o o r oo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 7.5 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Vector de ataque: de red
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-18 / 2023-04-18
 Enlaces a la fuente:
 http://www.oracle.com/security-alerts/cpuapr2023.html?952583
 https://bdu.fstec.ru/vul/2021-03966
 17

Descripción breve: Ej u go rb r r o Kamailio

Identificador de vulnerabilidad: CVE-2020-27507
Identificador de error de software: CWE-119 operaciones fuera de la memoria intermedia
Producto vulnerable: Kamailio: 5.0.0 - 5.4.9
Categoría de producto vulnerable: Software de servidor y sus components
Método de funcionamiento: E ío una solicitud generada especialmente
Consecuencias de la explotación: Ej u go rb r r o
15 Recomendaciones para su eliminación: E u r b r u u r o ro or b o or o u o
u o r r u r o o u actualizaciones de software se instalen solo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 9.8 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Vector de ataque: de red
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-18 / 2023-04-18
 Enlaces a la fuente:
 http://github.com/kamailio/kamailio/commit/ada3701d22b1fd579f06b4f54fa695fa988e685f
 http://github.com/kamailio/kamailio/issues/2503
 18

Descripción breve: Ej u go rb r r o APC Easy UPS Online

Identificador de vulnerabilidad: CVE-2023-29412
Identificador de error de software: CWE-78 ur orr o speciales utilizados en los comandos del sistema
los comandos de SO)
Producto vulnerable: APC Easy UPS Online: 2.5-GA-01-22320
Easy UPS Online: 2.5-GS-01-22320
Categoría de producto vulnerable: Software aplicado
Método de funcionamiento: E ío o g r o
Consecuencias de la explotación: Ej u go rb r r o
16 Recomendaciones para su eliminación: E u r b r u u r o ro or b o or o u o
u o r r u recomendamos que las actualizaciones de software se instalen solo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 9.8 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Vector de ataque: de red
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-17 / 2023-04-17
 Enlaces a la fuente:
 http://www.zerodayinitiative.com/advisories/ZDI-23-445/
 http://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-
2023-101-04.pdf
 19

Descripción breve: Ej u go rb r r o APC Easy UPS Online

Identificador de vulnerabilidad: CVE-2023-29411
Identificador de error de software: CWE-306 u r u o rí
Producto vulnerable: APC Easy UPS Online: 2.5-GA-01-22320
Easy UPS Online: 2.5-GS-01-22320
Categoría de producto vulnerable: Software aplicado
Método de funcionamiento: no definido
Consecuencias de la explotación: Ej u go rb r r o
Recomendaciones para su eliminación: E u r b r u u r o ro or b o or o u o
17 u o r r u r o o u actualizaciones de software se instalen solo ué de haber evaluado todos los riesgos asociados.
Evaluación CVSSv3: 9.8 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Vector de ataque: de red
Interacción con el usuario: no disponible
Soluciones a la vulnerabilidad: No definido
Fecha de identificación / Fecha de actualización: 2023-04-17 / 2023-04-17
 Enlaces a la fuente:
 http://www.zerodayinitiative.com/advisories/ZDI-23-444/
 http://download.schneider-electric.com/files?p_Doc_Ref=SEVD-2023-101-04&p_enDocType=Security+and+Safety+Notice&p_File_Name=SEVD-
2023-101-04.pdf
 https://bdu.fstec.ru/vul/2023-01954