| CVE | Véase la sección de impacto en la asesoría |
|---|---|
| Resumen del asesoramiento | Algunos escáneres de seguridad, ejecutados directamente en el servidor que aloja Command Enterprise, detectan la versión de Azul a partir de sus archivos de configuración y enumeran todas las posibles CVE divulgadas en las notas de la versión de Azul, sin comprobar si los componentes relacionados están instalados o cómo se utilizan. |
| Productos o componentes | Comando Empresa |
| Abordado en la publicación | Sin impacto en los productos March Networks |
| Gravedad | N/A |
| Billete | SV-116 |
Descripción
Algunos escáneres de seguridad, ejecutados directamente en el servidor que aloja Command Enterprise, detectan la versión de Azul a partir de sus archivos de configuración y enumeran todos los CVE potenciales divulgados en las notas de lanzamiento de Azul sin comprobar si los componentes relacionados están afectados, se utilizan o incluso están instalados. En general, estos problemas están relacionados con la ejecución de datos de carga de API de red o con la carga de código no fiable desde la red. Los servicios Command Enterprise basados en WSDL realizan comprobaciones de sanidad en los datos y no ejecutan código no fiable. En algunos casos, los componentes afectados ni siquiera están instalados. Command Enterprise 2.15, 2.16 y 2.17 utilizan Azul Zulu OpenJDK versión 11.48 (CA), para la que se publicaron varias correcciones de CVE conocidas. Ver las relacionadas con Azul Zulu 11 en:
- https://docs.azul.com/core/release/july-2021/release-notes
- https://docs.azul.com/core/release/october-2021/release-notes
- https://docs.azul.com/core/release/january-2022/release-notes
- https://docs.azul.com/core/release/april-2022/release-notes
- https://docs.azul.com/core/release/july-2022/release-notes
- https://docs.azul.com/core/release/october-2022/release-notes
- https://docs.azul.com/core/release/january-2023/release-notes
- https://docs.azul.com/core/release/april-2023/release-notes
- https://docs.azul.com/core/release/july-2023/release-notes
Todas las CVEs relacionadas con Azul Zulu 11 listadas en los enlaces anteriores o no afectan a Command Enterprise 2.15, 2.16, 2.17, o son vulnerabilidades bajas y medias. Todas ellas han sido corregidas desde Command Enterprise 2.18. Command Enterprise 2.18 y 2.19 utilizan Azul Zulu OpenJDK versión 11.66 (CA), para la que se publicaron varias correcciones de CVE conocidas. Vea las relacionadas con Azul Zulu 11 en:
- https://docs.azul.com/core/release/october-2023/release-notes
- https://docs.azul.com/core/release/january-2024/release-notes
- https://docs.azul.com/core/release/april-2024/release-notes
- https://docs.azul.com/core/release/july-2024/release-notes
- https://docs.azul.com/core/release/october-2024/release-notes
Todas las CVE relacionadas con Azul Zulu 11 listadas en los enlaces anteriores no afectan a Command Enterprise 2.18 o 2.19 o vulnerabilidades bajas y medias. En cualquier caso, todas ellas están solucionadas desde Command Enterprise 2.20. Command Enterprise 2.20 y 2.21 utilizan Azul Zulu OpenJDK versión 11.76 (CA), para la que se publicaron varias correcciones de CVE conocidas. Ver las relacionadas con Azul Zulu 11 en:
- https://docs.azul.com/core/release/january-2025/release-notes
- https://docs.azul.com/core/release/april-2025/release-notes
Todas las CVE relacionadas con Azul Zulu 11 listadas en los enlaces anteriores no afectan a Command Enterprise 2.20 o 2.21 o vulnerabilidades bajas y medias. En cualquier caso, todas ellas están solucionadas desde Command Enterprise 2.22. Command Enterprise 2.22 utiliza Azul Zulu OpenJDK versión 11.80 (CA), para la que se publicaron varias correcciones de CVE conocidas. Ver las relacionadas con Azul Zulu 11 en:
- https://docs.azul.com/core/release/july-2025/release-notes
- https://docs.azul.com/core/release/october-2025/release-notes
Todas las CVE relacionadas con Azul Zulu 11 enumeradas en los enlaces anteriores no afectan a Command Enterprise 2.22, a excepción de la vulnerabilidad media CVE-2025-53057, que se cerrará en una futura versión de Command Enterprise .
March Networks supervisa continuamente los nuevos problemas en los componentes de software utilizados en nuestros productos y servicios y comunica su impacto de acuerdo con nuestras políticas de seguridad. Para vulnerabilidades altas y críticas, enviamos una notificación a través de nuestro Portal de Socios antes de una divulgación pública. Para vulnerabilidades medias y bajas, recomendamos la actualización a nuestras últimas versiones publicadas.
Impacto
A continuación, enumeramos exhaustivamente en detalle todos los CVE con una solución entregada en las versiones de Azul Zulu de 11.50 a 11.82, con el impacto en Command Enterprise.
| Azul Zulu lanzamiento 11.50 | |
|---|---|
| Sólo se aplica cuando se carga código no fiable. Sin impacto en Command Enterprise, ya que solo ejecuta código de confianza, instalado en su servidor de alojamiento sin cargar nada de la red. | |
| Azul Zulu versión 11.52 | |
| Sólo se aplica cuando se carga código no fiable. Sin impacto en Command Enterprise, ya que solo ejecuta código de confianza, instalado en su servidor de alojamiento sin cargar nada de la red. | |
| Aplicable a los datos cargados a través de una API de red. Sin impacto en Command Enterprise, ya que está relacionado con componentes o protocolos que no utiliza. | |
| Aplicable a datos cargados a través de una API de red. Vulnerabilidades de riesgo bajo o medio cerradas con Command Enterprise 2.18. | |
| Azul Zulu versión 11.54 | |
| Aplicable a los datos cargados a través de una API de red. Sin impacto en Command Enterprise, ya que está relacionado con componentes o protocolos que no utiliza. | |
| Aplicable a datos cargados a través de una API de red. Vulnerabilidades de riesgo bajo o medio cerradas con Command Enterprise 2.18. | |
| Azul Zulu versión 11.56 | |
| Se aplica a los datos cargados a través de una API de red. Sin impacto en Command Enterprise, ya que está relacionado con componentes o protocolos que no utiliza. | |
| Se aplica sólo si la biblioteca zlib se utiliza fuera del entorno Azul Zulu Java. No tiene impacto en Command Enterprise, ya que no proporciona acceso a esta biblioteca fuera del entorno de Azul Zulu Java. | |
| Se aplica a los datos cargados a través de una API de red. No afecta a Command Enterprise, ya que solo utiliza la API con datos de confianza. | |
| Aplicable a datos cargados a través de una API de red. Vulnerabilidades de riesgo bajo o medio cerradas con Command Enterprise 2.18. | |
| Azul Zulu versión 11.58 | |
| Se aplica a los datos cargados a través de una API de red. Sin impacto en Command Enterprise, ya que está relacionado con componentes o protocolos que no utiliza. | |
| Aplicable a los datos cargados a través de una API de red. Sin impacto en Command Enterprise. | |
| Azul Zulu versión 11.60 | |
| Sólo se aplica cuando se carga código no fiable. Sin impacto en Command Enterprise, ya que solo ejecuta código de confianza, instalado en su servidor de alojamiento sin cargar nada de la red. | |
| Se aplica a los datos cargados a través de una API de red. Sin impacto en Command Enterprise, ya que está relacionado con componentes o protocolos que no utiliza. | |
| Aplicable a datos cargados a través de una API de red. Vulnerabilidades de riesgo bajo o medio, cerradas con Command Enterprise 2.18. | |
| Azul Zulu versión 11.62 | |
| Sólo se aplica cuando se carga código no fiable. Sin impacto en Command Enterprise, ya que solo ejecuta código de confianza, instalado en su servidor de alojamiento sin cargar nada de la red. | |
| Azul Zulu versión 11.64 | |
| Sólo se aplica cuando se carga código no fiable. Sin impacto en Command Enterprise, ya que solo ejecuta código de confianza, instalado en su servidor de alojamiento sin cargar nada de la red. | |
| Se aplica a los datos cargados a través de una API de red. Sin impacto en Command Enterprise, ya que está relacionado con componentes o protocolos que no utiliza. | |
| Se aplica a los datos recibidos o enviados a través de una sesión TLS semidúplex. No afecta a Command Enterprise, ya que solo recibe o envía datos confidenciales en sesiones TLS full-duplex autenticadas. | |
| Aplicable a datos cargados a través de una API de red. Vulnerabilidades de riesgo bajo o medio, cerradas con Command Enterprise 2.18. | |
| Azul Zulu versión 11.66 (utilizado desde Command Enterprise 2.18) | |
| Sólo se aplica cuando se carga código no fiable. Sin impacto en Command Enterprise, ya que solo ejecuta código de confianza, instalado en su servidor de alojamiento sin cargar nada de la red. | |
| Aplicable a los datos cargados a través de una API de red. Sin impacto en Command Enterprise, ya que está relacionado con componentes o protocolos que no utiliza. | |
| Aplicable a datos cargados a través de una API de red. Vulnerabilidades de bajo riesgo, cerradas con Command Enterprise 2.18. | |
| Azul Zulu versión 11.68 | |
| Sólo se aplica cuando se carga código no fiable. Sin impacto en Command Enterprise, ya que solo ejecuta código de confianza, instalado en su servidor de alojamiento sin cargar nada de la red. | |
| Azul Zulu versión 11.70 | |
| Sólo se aplica cuando se carga código no fiable. Sin impacto en Command Enterprise, ya que solo ejecuta código de confianza, instalado en su servidor de alojamiento sin cargar nada de la red. | |
| Se aplica a los datos cargados a través de una API de red. Sin impacto en Command Enterprise, ya que está relacionado con componentes o protocolos que no utiliza. | |
| Se aplica a los datos cargados a través de una API de red. Sin impacto en Command Enterprise, ya que solo utiliza la API con datos de confianza. | |
| Azul Zulu versión 11.72 | |
| Sólo se aplica cuando se carga código no fiable. Sin impacto en Command Enterprise, ya que solo ejecuta código de confianza, instalado en su servidor de alojamiento sin cargar nada de la red. | |
| Se aplica a los datos cargados a través de una API de red. Sin impacto en Command Enterprise, ya que solo utiliza la API con datos de confianza. | |
| Azul Zulu versión 11.74 | |
| Se aplica a los datos cargados a través de una API de red. Bajo impacto en Command Enterprise cuando se utiliza su configuración TLS por defecto. Recomendamos mantener la versión TLS 1.2 como mínimo y considerar TLS 1.2 forzando encriptaciones hacia adelante y cifrados fuertes (por favor refiérase a la guía de instalación para más detalles). Cerrado con Command Enterprise 2.20. | |
| Se aplica a los datos cargados a través de una API de red. Vulnerabilidades de riesgo bajo o medio, cerradas con Command Enterprise 2.20. | |
| Se aplica a los datos cargados a través de una API de red. Sin impacto en Command Enterprise, ya que está relacionado con componentes o protocolos que no utiliza. | |
| Sólo se aplica cuando se carga código no fiable. Sin impacto en Command Enterprise, ya que solo ejecuta código de confianza, instalado en su servidor de alojamiento sin cargar nada de la red. | |
| Azul Zulu versión 11.76 (utilizado desde Command Enterprise 2.20) | |
| Sólo se aplica cuando se carga código no fiable. Sin impacto en Command Enterprise, ya que solo ejecuta código de confianza, instalado en su servidor de alojamiento sin cargar nada de la red. | |
| Se aplica a los datos cargados a través de una API de red. Vulnerabilidades de riesgo bajo o medio, cerradas con Command Enterprise 2.22. | |
| Azul Zulu versión 11.78 | |
| Se aplica a los datos cargados a través de una API de red. Vulnerabilidad de riesgo medio, cerrada con Command Enterprise 2.22. | |
| Azul Zulu lanzamiento 11.80 | |
| Sin impacto en Command Enterprise, ya que está relacionado con componentes o protocolos que no utiliza. | |
| Se aplica a los datos cargados a través de una API de red. Bajo impacto en Command Enterprise cuando se utiliza su configuración TLS por defecto. Recomendamos mantener la versión TLS 1.2 como mínimo y considerar TLS 1.2 forzando encriptaciones hacia adelante y cifrados fuertes (por favor refiérase a la guía de instalación para más detalles). Cerrado con Command Enterprise 2.22. | |
| Se aplica a los datos cargados a través de una API de red. Vulnerabilidad de riesgo medio, cerrada con Command Enterprise 2.22. | |
| Azul Zulu versión 11.82 | |
| Sólo se aplica cuando se carga código no fiable. Sin impacto en Command Enterprise, ya que solo ejecuta código de confianza, instalado en su servidor de alojamiento sin cargar nada de la red. | |
| Sin impacto en Command Enterprise, ya que está relacionado con componentes o protocolos que no utiliza. | |
| Azul Zulu lanzamiento 11.84 | |
| Sin impacto en Command Enterprise, ya que está relacionado con componentes o protocolos que no utiliza. | |
| Se aplica a los datos cargados a través de una API de red. Vulnerabilidad de riesgo medio, se cerrará en una futura versión de Command Enterprise. |
Revisión
21 de octubre de 2025 - Informe público actualizado
Descargo de responsabilidad
La evaluación de March NetworksNetworks de esta vulnerabilidad de seguridad depende de que los productos de March Networks Networks se actualicen a la versión recomendada y/o al nivel de parche de seguridad y de que el sistema se implemente y configure de acuerdo con las recomendaciones de seguridad March Networks y las mejores prácticas de la industria. ES RESPONSABILIDAD DEL CLIENTE EVALUAR EL EFECTO DE CUALQUIER VULNERABILIDAD DE SEGURIDAD. No actualizar los productos de March Networks Networks y/o no seguir las recomendaciones de March Networks o las mejores prácticas de la industria puede aumentar el riesgo asociado con una vulnerabilidad de seguridad. March Networks sigue las prácticas líderes de la industria para abordar las vulnerabilidades de seguridad en nuestros productos. Aunque March Networks Networks no puede garantizar que nuestros productos estarán libres de vulnerabilidades de seguridad, nos comprometemos a proporcionar actualizaciones y correcciones de seguridad para nuestros productos compatibles siempre y cuando se determine que una vulnerabilidad de alta seguridad afecta a los productos de March Networks Networks.