Gravedad: Alta
Fecha de publicación: mayo 5, 2025
Última revisión: mayo 5, 2025 Sitio web: https://tenable.com Sistemas Afectados: Tentable Identity Exposure, versión 3.77.10 y anteriores.
- Descripción
Se han publicado un aviso de seguridad, clasificado con severidad crítica, que afecta a Tenable Identity Exposure. El mismo emplea varios productos de terceros que tienen vulnerabilidades, entre ellos Erlang/OTP y OpenSSL, por lo que las vulnerabilidades de estos productos afectan a Tenable.
- Impacto
Las vulnerabilidades detectadas son:
Vulnerabilidad CVE-2025-32433:
Vulnerabilidad de severidad crítica en el servidor Erlang/OTP SSH, descubierta el 16 de abril, esta vulnerabilidad permite a un atacante remoto no autenticado ejecutar código en remoto (RCE) en el dispositivo afectado. La vulnerabilidad se produce por un fallo en la gestión de los mensajes SSH en la fase de autenticación.
Vulnerabilidad CVE-2024-12797:
Vulnerabilidad de severidad alta en OpenSSL, que afecta a las conexiones TLS y DTLS que utilizan claves públicas sin procesar. Su explotación podría provocar ataques de intermediarios (man-in-the-middle) cuando no se detecta el fallo de autenticación del servidor.
III. Referencia a soluciones, herramientas e información
Actualizar a la versión 3.77.11, que soluciona estos problemas.
Verificar en Tenable: listado de todos los productos de terceros actualizados y la versión en que la quedan finalmente.
Fuentes:
- INCIBE CERT. Avisos Seguridad, Múltiples vulnerabilidades en Tenable Identity Exposure. 2 de mayo del 2025. Recopilado en: https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-tenable-identity-exposure
Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124