Vulnerabilidades

Vulnerabilidad de cross-site scripting (XSS) en la terminal de router de Hughes Network Systems para HX200 v8.3.1.14, HX90 v6.11.0.5, HX50L v6.10.0.18, HN9460 v8.2.0.48 y HN7000S v6.9.0.37, permite a atacantes no autenticados hacer un mal uso de los frames, incluir código JS/HTML y robar información confidencial de usuarios legítimos de la aplicación.

*** Pendiente de traducción *** Spotipy is a light weight Python library for the Spotify Web API. In versions prior to 2.22.1, if a malicious URI is passed to the library, the library can be tricked into performing an operation on a different API endpoint than intended. The code Spotipy uses to parse URIs and URLs allows an attacker to insert arbitrary characters into the path that is used for API requests. Because it is possible to include "..", an attacker can redirect for example a track lookup via spotifyApi.track() to an arbitrary API endpoint like playlists, but this is possible for other endpoints as well. The impact of this vulnerability depends heavily on what operations a client application performs when it handles a URI from a user and how it uses the responses it receives from the API. This issue is patched in version 2.22.1.

Argo CD es una herramienta declarativa de entrega continua de GitOps para Kubernetes. Las versiones que comienzan con 2.5.0-rc1 y superiores, anteriores a 2.5.8 y la versión 2.6.0-rc4, son vulnerables a un error de omisión de autorización que permite a un usuario malintencionado de Argo CD implementar aplicaciones fuera de los espacios de nombres permitidos configurados. Los espacios de nombres de aplicaciones reconciliados se especifican como una lista de patrones globales delimitados por comas. Cuando la fragmentación está habilitada en el controlador de aplicaciones, no aplica esa lista de patrones al conciliar aplicaciones. Por ejemplo, si los espacios de nombres de las aplicaciones están configurados para ser argocd-*, el controlador de la aplicación puede conciliar una aplicación instalada en un espacio de nombres llamado other, aunque no comience con argocd-. La conciliación de la aplicación fuera de los límites solo se activa cuando la aplicación se actualiza, por lo que el atacante debe poder provocar una operación de actualización en el recurso de la aplicación. Este error solo se aplica a los usuarios que han habilitado explícitamente la función "aplicaciones en cualquier espacio de nombres" configurando `application.namespaces` en el ConfigMap argocd-cmd-params-cm o configurando de otro modo los indicadores `--application-namespaces` en los componentes del controlador de aplicaciones y del servidor API. La función de aplicaciones en cualquier espacio de nombres se encuentra en versión beta a partir de la fecha de publicación de este aviso de seguridad. El error también se limita a las instancias de Argo CD donde la fragmentación se habilita aumentando el recuento de "réplicas" para el controlador de la aplicación. Finalmente, el campo `sourceNamespaces` de AppProjects actúa como una verificación secundaria contra este exploit. Para provocar la conciliación de una aplicación en un espacio de nombres fuera de los límites, debe estar disponible un AppProject que permita aplicaciones en el espacio de nombres fuera de los límites. Se lanzó un parche para esta vulnerabilidad en las versiones 2.5.8 y 2.6.0-rc5. Como workaround, ejecutar solo una réplica del controlador de la aplicación evitará que se aproveche este error. Asegurarse de que todos los espacios de nombres de origen de AppProjects estén restringidos dentro de los límites de los espacios de nombres de aplicaciones configurados también evitará la explotación de este error.

*** Pendiente de traducción *** GLPI is a Free Asset and IT Management Software package. Versions 10.0.0 and above, prior to 10.0.6 are vulnerable to Incorrect Authorization. This vulnerability allow unauthorized access to inventory files. Thus, if anonymous access to FAQ is allowed, inventory files are accessbile by unauthenticated users. This issue is patched in version 10.0.6. As a workaround, disable native inventory and delete inventory files from server (default location is `files/_inventory`).

*** Pendiente de traducción *** GLPI is a Free Asset and IT Management Software package. Versions 9.4.0 and above, prior to 10.0.6 are subject to Cross-site Scripting. An attacker can persuade a victim into opening a URL containing a payload exploiting this vulnerability. After exploited, the attacker can make actions as the victim or exfiltrate session cookies. This issue is patched in version 10.0.6.

*** Pendiente de traducción *** GLPI is a Free Asset and IT Management Software package. Versions prior to 10.0.6 are subject to Cross-site Scripting via malicious RSS feeds. An Administrator can import a malicious RSS feed that contains Cross Site Scripting (XSS) payloads inside RSS links. Victims who wish to visit an RSS content and click on the link will execute the Javascript. This issue is patched in 10.0.6.<br />

*** Pendiente de traducción *** cmark-gfm is GitHub&amp;#39;s fork of cmark, a CommonMark parsing and rendering library and program in C. Versions prior to 0.29.0.gfm.7 contain a polynomial time complexity issue in handle_close_bracket that may lead to unbounded resource exhaustion and subsequent denial of service. This vulnerability has been patched in 0.29.0.gfm.7.

*** Pendiente de traducción *** GLPI is a Free Asset and IT Management Software package. Versions 0.6.0 and above, prior to 10.0.6 are vulnerable to Cross-site Scripting. This vulnerability allow for an administrator to create a malicious external link. This issue is patched in 10.0.6.

*** Pendiente de traducción *** Discourse is an open source platform for community discussion. Versions prior to 2.8.13 (stable), 3.0.0.beta16 (beta) and 3.0.0beta16 (tests-passed), are vulnerable to cross-site Scripting. A maliciously crafted URL can be included in a post to carry out cross-site scripting attacks on sites with disabled or overly permissive CSP (Content Security Policy). Discourse&amp;#39;s default CSP prevents this vulnerability. This vulnerability is patched in versions 2.8.13 (stable), 3.0.0.beta16 (beta) and 3.0.0beta16 (tests-passed). As a workaround, enable and/or restore your site&amp;#39;s CSP to the default one provided with Discourse.

Argo CD es una herramienta declarativa de entrega continua de GitOps para Kubernetes. Las versiones de Argo CD que comienzan con v1.8.2 y anteriores a 2.3.13, 2.4.19, 2.5.6 y 2.6.0-rc-3 son vulnerables a un error de autorización incorrecta que hace que la API acepte ciertos tokens no válidos. Los proveedores de OIDC incluyen un reclamo "aud" (audiencia) en tokens firmados. El valor de esa afirmación especifica la(s) audiencia(s) prevista(s) del token (es decir, el servicio o servicios que deben aceptar el token). Argo CD _valida_ que el token fue firmado por el proveedor OIDC configurado de Argo CD. Pero Argo CD _no_ valida el reclamo de audiencia, por lo que aceptará tokens que no estén destinados a Argo CD. Si el proveedor OIDC configurado de Argo CD también atiende a otras audiencias (por ejemplo, un servicio de almacenamiento de archivos), entonces Argo CD aceptará un token destinado a una de esas otras audiencias. Argo CD otorgará privilegios de usuario según el reclamo de "grupos" del token, aunque esos grupos no estaban destinados a ser utilizados por Argo CD. Este error también aumenta el impacto de un token robado. Si un atacante roba un token válido para una audiencia diferente, puede usarlo para acceder a Argo CD. Se lanzó un parche para esta vulnerabilidad en las versiones 2.6.0-rc3, 2.5.6, 2.4.19 y 2.3.13. No hay workarounds.

En varias funciones de SettingsState.java, existe un posible bucle de bloqueo del sistema debido al agotamiento de los recursos. Esto podría provocar una denegación de servicio local sin necesidad de permisos de ejecución adicionales. No se necesita la interacción del usuario para la explotación.Producto: Android; Versiones: Android-10, Android-11, Android-12, Android-12L, Android-13; ID de Android: A-239415861

En Mfc_Transceive de phNxpExtns_MifareStd.cpp, existe una posible escritura fuera de los límites debido a una verificación de los límites faltante. Esto podría conducir a una escalada local de privilegios sin necesidad de permisos de ejecución adicionales. No se necesita la interacción del usuario para la explotación. Producto: AndroidVersiones: Android-10ID de Android: A-241387741