ES
Español
English
Português
    Release Note Aranda Service Desk V8 8.30.6

    Vulnerabilidades de seguridad solucionadas

    Avisos de seguridad abordados CVE Descripción
    Carga de archivos autenticados en Aranda ASDKAPI. CVE- 2025 -70995 Se identificó una vulnerabilidad en el componente Aranda Service Desk Web Edition – ASDK API, donde un atacante autenticado podía cargar un archivo web.config malicioso, lo que permitía modificar el contexto de ejecución del directorio de carga y, potencialmente, ejecutar código arbitrario en el servidor.

    Solución implementada: Para mitigar este escenario, se fortalecieron los controles de validación de tipos de archivo del API, específicamente: Se actualizó la lista blanca de extensiones permitidas, eliminando la extensión .config.


    Validación de extensiones en archivos adjuntos Case Creator

    Se realiza un ajuste en el servicio de Windows ArandaCaseCreator_Mail para validar las extensiones permitidas en los archivos adjuntos durante la creación de casos.

    Las extensiones permitidas se encuentran configuradas en el archivo Aranda.ACC.Windows.Service.exe.config del servicio ArandaCaseCreator_Mail.

    En caso de requerir la modificación de las extensiones permitidas, realice el siguiente procedimiento:

    1. Acceda a la ruta de instalación de Aranda Case Creator (Por defecto: C:\Program Files (x86)\Aranda\Aranda Case Creator).

    2. Abra el archivo Aranda.ACC.Windows.Service.exe.config.

    3. Ubique la sección appSettings.

    4. Modifique el valor de la clave acceptExtensions, agregando o eliminando las extensiones requeridas.

    Notas:

    • Las extensiones deben separarse por comas (,).
    • No se deben incluir espacios en blanco.

    5. Guarde los cambios y reinicie el servicio ArandaCaseCreator_Mail para que la configuración tenga efecto.


    Importante: Si utiliza Aranda Tools versión 8.8.4 o superior, es obligatorio actualizar manualmente la DLL del servicio DBManager. Para conocer el procedimiento completo y obtener la ruta de la DLL, consulte las Notas de versión de Aranda Tools.


    NOTAS O INSTRUCCIONES ADICIONALES

    • Ejecute el archivo “Aranda.ASDK.WebV8.Installer.exe” y siga las instrucciones del instalador.
    • El archivo ejecutable funciona como instalador y como herramienta de actualización.
    • Esta actualización aplica únicamente para bases de datos en versión 8.0.171.
    • Si se tiene algún ajuste personalizado en los archivos web.config, debe volver aplicar el ajuste.
    • CHAT: A partir de la versión Chrome 62 se bloqueó el acceso a las notificaciones Web Push para conexiones no seguras HTTP. Sólo serán soportadas estas notificaciones con el protocolo HTTPS.
    • En el motor de DB Oracle el tamaño máximo del contenido de un artículo es de 32.000 caracteres. Si requiere incluir imágenes se recomienda utilizar imágenes de URL pública o vinculadas a un repositorio remoto. De esta forma al almacenarse en DB serán referenciadas con la URL de la imagen y ocupando menor espacio. No se recomienda pegar imágenes locales ya que se referencian como imágenes completas en base64.
    • Los tag´s correspondientes a campos que son HTML como descripción, solución y notas, no aplicarán cambios de estilos.