Vulnerabilidades

Impacto:<br /> <br /> Se genera una expresión regular defectuosa siempre que se tienen múltiples grupos opcionales secuenciales (sintaxis de llaves), como `{a}{b}{c}:z`. La expresión regular generada crece exponencialmente con el número de grupos, causando denegación de servicio.<br /> <br /> Parches:<br /> <br /> Corregido en la versión 8.4.0.<br /> <br /> Soluciones alternativas:<br /> <br /> Limitar el número de grupos opcionales secuenciales en los patrones de ruta. Evitar pasar entradas controladas por el usuario como patrones de ruta.

Se encontró un fallo en Keycloak. Un administrador con permiso &amp;#39;manage-clients&amp;#39; puede explotar una mala configuración donde este permiso es equivalente a &amp;#39;manage-permissions&amp;#39;. Esto permite al administrador escalar privilegios y obtener control sobre roles, usuarios u otras funciones administrativas dentro del ámbito. Esta escalada de privilegios puede ocurrir cuando los permisos de administrador están habilitados a nivel de ámbito.

Se encontró una falla en Keycloak. El endpoint de la API de protección de User-Managed Access (UMA) 2.0 para tickets de permiso no aplica la verificación del rol &amp;#39;uma_protection&amp;#39;. Esto permite que cualquier usuario autenticado con un token emitido para un cliente de servidor de recursos, incluso sin el rol &amp;#39;uma_protection&amp;#39;, enumere todos los tickets de permiso en el sistema. Esta vulnerabilidad conduce parcialmente a la revelación de información.

Ory Polis, anteriormente conocido como BoxyHQ Jackson, actúa como puente o proxy para un flujo de inicio de sesión SAML a OAuth 2.0 o OpenID Connect. Las versiones anteriores a la 26.2.0 contienen una vulnerabilidad de cross-site scripting (XSS) basada en DOM en la funcionalidad de inicio de sesión de Ory Polis. La aplicación confía indebidamente en un parámetro de URL (&amp;#39;callbackUrl&amp;#39;), el cual se pasa a `router.push`. Un atacante puede crear un enlace malicioso que, al ser abierto por un usuario autenticado (o un usuario no autenticado que luego inicia sesión), realiza una redirección del lado del cliente y ejecuta JavaScript arbitrario en el contexto de su navegador. Esto podría conducir a robo de credenciales, pivoteo de red interno y acciones no autorizadas realizadas en nombre de la víctima. La versión 26.2.0 contiene un parche para el problema.

Zen C es un lenguaje de programación de sistemas que compila a GNU C/C11 legible por humanos. Antes de la versión 0.4.4, una vulnerabilidad de desbordamiento de búfer basado en pila en el compilador de Zen C permite a los atacantes causar un fallo del compilador o potencialmente ejecutar código arbitrario al proporcionar un archivo fuente de Zen C especialmente diseñado (&amp;#39;.zc&amp;#39;) con identificadores de estructura, función o rasgo excesivamente largos. Se aconseja a los usuarios actualizar a la versión v0.4.4 de Zen C o posterior para recibir un parche.

Ory Keto es un servidor de autorización de código abierto para gestionar permisos a escala. Antes de la versión 26.2.0, la API GetRelationships en Ory Keto es vulnerable a inyección SQL debido a fallos en su implementación de paginación. Los tokens de paginación están cifrados usando el secreto configurado en &amp;#39;secrets.pagination&amp;#39;. Un atacante que conoce este secreto puede crear sus propios tokens, incluyendo tokens maliciosos que conducen a inyección SQL. Si este valor de configuración no está establecido, Keto recurre a un secreto de cifrado de paginación predeterminado codificado. Dado que este valor predeterminado es de conocimiento público, los atacantes pueden generar tokens de paginación válidos y maliciosos manualmente para instalaciones donde este secreto no está configurado. Este problema puede ser explotado cuando la API GetRelationships es directa o indirectamente accesible para el atacante, el atacante puede pasar un token de paginación sin procesar a la API afectada, y el valor de configuración &amp;#39;secrets.pagination&amp;#39; no está establecido o es conocido por el atacante. Un atacante puede ejecutar consultas SQL arbitrarias a través de tokens de paginación falsificados. Como primera línea de defensa, configure inmediatamente un valor personalizado para &amp;#39;secrets.pagination&amp;#39; generando un secreto aleatorio criptográficamente seguro. A continuación, actualice Keto a una versión corregida, 26.2.0 o posterior, tan pronto como sea posible.

Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de compras. En versiones anteriores a la 2.6.0, Tandoor Recipes configura Django REST Framework con BasicAuthentication como uno de los backends de autenticación predeterminados. La configuración de limitación de tasa de AllAuth (ACCOUNT_RATE_LIMITS: login: 5/m/ip) solo se aplica al endpoint de inicio de sesión basado en HTML en /accounts/login/. Cualquier endpoint de API que acepte solicitudes autenticadas puede ser objetivo a través de encabezados Authorization: Basic sin limitación de tasa, sin bloqueo de cuenta y con intentos ilimitados. Un atacante puede realizar adivinación de contraseñas a alta velocidad contra cualquier nombre de usuario conocido. La versión 2.6.0 corrige el problema.

Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de compras. En versiones anteriores a la 2.6.0, el endpoint de la API de Recetas expone un parámetro de consulta oculto `?debug=true` que devuelve la consulta SQL sin procesar completa que se está ejecutando, incluyendo todos los nombres de tablas, nombres de columnas, relaciones JOIN, condiciones WHERE (revelando la lógica de control de acceso) y los ID de espacio multi-inquilino. Este parámetro funciona incluso cuando `DEBUG=False` de Django (modo de producción) y es accesible para cualquier usuario autenticado independientemente de su nivel de privilegio. Esto permite a un atacante de bajo privilegio mapear todo el esquema de la base de datos y realizar ingeniería inversa del modelo de autorización. La versión 2.6.0 corrige el problema.

Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de compras. En versiones anteriores a la 2.6.0, el endpoint de búsqueda de FDC (USDA FoodData Central) construye una URL de API ascendente interpolando directamente el parámetro &amp;#39;query&amp;#39; proporcionado por el usuario en la cadena de la URL sin codificación URL. Un atacante puede inyectar parámetros URL adicionales incluyendo caracteres &amp;#39;&amp;amp;&amp;#39; en el valor de la consulta. Esto permite anular la clave de la API, manipular el comportamiento de la consulta ascendente y causar caídas del servidor (HTTP 500) a través de solicitudes malformadas — una condición de denegación de servicio. La versión 2.6.0 corrige el problema.

Tandoor Recipes es una aplicación para gestionar recetas, planificar comidas y crear listas de la compra. Las versiones hasta la 2.5.3 inclusive establecen ALLOWED_HOSTS = &amp;#39;*&amp;#39; por defecto, lo que provoca que Django acepte cualquier valor en la cabecera HTTP Host sin validación. La aplicación utiliza request.build_absolute_uri() para generar URLs absolutas en múltiples contextos, incluyendo correos electrónicos de enlaces de invitación, paginación de la API y generación de esquemas OpenAPI. Un atacante que pueda enviar solicitudes a la aplicación con una cabecera Host manipulada puede manipular todas las URLs absolutas generadas por el servidor. El impacto más crítico es el envenenamiento de enlaces de invitación: cuando un administrador crea una invitación y la aplicación envía el correo electrónico de invitación, el enlace apunta al servidor del atacante en lugar de a la aplicación real. Cuando la víctima hace clic en el enlace, el token de invitación se envía al atacante, quien luego puede usarlo en la aplicación real. En el momento de la publicación, se desconoce si hay una versión parcheada disponible.

Un problema en Daylight Studio FuelCMS v1.5.2 permite a los atacantes exfiltrar tokens de restablecimiento de contraseña de los usuarios mediante un ataque de división de correo.

Daylight Studio FuelCMS v1.5.2 se descubrió que contenía una vulnerabilidad de inyección SQL a través del componente /controllers/Login.php.