Vulnerabilidades

Istio es una plataforma abierta para conectar, gestionar y proteger microservicios. Antes de 1.29.1, 1.28.5 y 1.27.8, un usuario de Istio se ve afectado si el resolvedor JWKS deja de estar disponible o la obtención falla, exponiendo valores predeterminados codificados independientemente del uso del recurso RequestAuthentication. Esta vulnerabilidad está corregida en 1.29.1, 1.28.5 y 1.27.8.

Umbraco es un CMS de ASP.NET. Desde 15.3.1 hasta antes de 16.5.1 y 17.2.2, ha sido identificada una vulnerabilidad de escalada de privilegios en Umbraco CMS. Bajo ciertas condiciones, los usuarios autenticados del backoffice con permiso para gestionar usuarios, podrían elevar sus privilegios debido a una aplicación insuficiente de la autorización al modificar las membresías de grupos de usuarios. La funcionalidad afectada no valida correctamente si un usuario tiene privilegios suficientes para asignar roles altamente privilegiados. Esta vulnerabilidad está corregida en 16.5.1 y 17.2.2.

Umbraco es un CMS de ASP.NET. Desde la versión 16.2.0 hasta antes de la 16.5.1 y la 17.2.2, un usuario autenticado del backoffice con acceso a Settings puede inyectar HTML malicioso en las descripciones de tipos de propiedades. Debido a una configuración de attributeNameCheck (/.+/) excesivamente permisiva en la instancia de DOMPurify de UFM, los atributos de gestor de eventos como onclick y onload, cuando se usaban dentro de componentes web de Umbraco (umb-*, uui-*, ufm-*), no se filtraban. Esta vulnerabilidad está corregida en las versiones 16.5.1 y 17.2.2.

Umbraco es un CMS de ASP.NET. Desde la versión 14.0.0 hasta antes de la 16.5.1 y la 17.2.2, existe una vulnerabilidad de autorización a nivel de objeto rota en un endpoint de API del backoffice que permite a usuarios autenticados asignar datos relacionados con dominios a nodos de contenido sin las comprobaciones de autorización adecuadas. El problema es causado por una aplicación de autorización insuficiente en el endpoint de API afectado, por la cual, a través de una llamada a la API, se pueden establecer dominios en nodos de contenido a los que el editor no tiene permiso para acceder (ya sea a través de privilegios de grupo de usuarios o nodos de inicio). Esta vulnerabilidad está corregida en la 16.5.1 y la 17.2.2.

sigstore-ruby es una implementación pura de Ruby del comando sigstore verify del proyecto sigstore/cosign. Antes de 0.2.3, Sigstore::Verifier#verify no propaga el VerificationFailure devuelto por verify_in_toto cuando el *digest* del artefacto no coincide con el *digest* en el sujeto de la atestación in-toto. Como resultado, la verificación de paquetes DSSE que contienen declaraciones in-toto devuelve VerificationSuccess independientemente de si el artefacto coincide con el sujeto atestiguado. Esta vulnerabilidad está corregida en 0.2.3.

Flowise es una interfaz de usuario de arrastrar y soltar para construir un flujo de modelo de lenguaje grande personalizado. Antes de la versión 3.0.13, Flowise expone un Nodo HTTP en AgentFlow y Chatflow que realiza peticiones HTTP del lado del servidor utilizando URLs controladas por el usuario. Por defecto, no hay restricciones en los hosts de destino, incluyendo rangos de IP privados/internos (RFC 1918), localhost, o puntos finales de metadatos en la nube. Esto permite la Falsificación de Petición del Lado del Servidor (SSRF), permitiendo a cualquier usuario que interactúa con un chatflow expuesto públicamente forzar al servidor Flowise a realizar peticiones a recursos de red internos que son inaccesibles desde la internet pública. Esta vulnerabilidad está corregida en la versión 3.0.13.

Parse Server es un backend de código abierto que puede ser desplegado en cualquier infraestructura que pueda ejecutar Node.js. Anteriormente a 9.5.2-alpha.13 y 8.6.26, el adaptador de autenticación LDAP es vulnerable a la inyección LDAP. La entrada proporcionada por el usuario (authData.id) se interpola directamente en los Nombres Distinguidos LDAP (DN) y en los filtros de búsqueda de grupo sin escapar caracteres especiales. Esto permite a un atacante con credenciales LDAP válidas manipular la estructura del DN de enlace y eludir las comprobaciones de membresía de grupo. Esto posibilita la escalada de privilegios desde cualquier usuario LDAP autenticado a un miembro de cualquier grupo restringido. La vulnerabilidad afecta a los despliegues de Parse Server que utilizan el adaptador de autenticación LDAP con control de acceso basado en grupos. Esta vulnerabilidad está corregida en 9.5.2-alpha.13 y 8.6.26.

Sylius es un framework de comercio electrónico de Código Abierto sobre Symfony. Se descubrió una condición de carrera Time-of-Check To Time-of-Use (TOCTOU) en la aplicación del límite de uso de promociones. La misma clase de vulnerabilidad afecta el límite de uso de promociones (el contador global de uso en las entidades de Promoción), el límite de uso de cupones (el contador global de uso en las entidades de PromotionCoupon) y el límite de uso de cupones por cliente (el recuento de canjes por cliente en las entidades de PromotionCoupon). En los tres casos, la verificación de elegibilidad lee el contador de uso (o el recuento de pedidos) de una entidad Doctrine en memoria durante la validación, mientras que el incremento de uso real en OrderPromotionsUsageModifier ocurre más tarde durante la finalización del pedido, sin bloqueo a nivel de base de datos ni operaciones atómicas entre las dos fases. Debido a que Doctrine vacía un valor absoluto (SET used = 1) en lugar de un incremento atómico (SET used = used + 1), y debido a que las entidades afectadas carecen de bloqueo optimista, todas las solicitudes concurrentes leen los mismos recuentos de uso obsoletos y pasan las verificaciones de elegibilidad simultáneamente. Un atacante puede explotar esto preparando múltiples carritos con la misma promoción o cupón de uso limitado y enviando solicitudes PATCH /api/v2/shop/orders/{token}/complete simultáneas. Todas las solicitudes pasan las verificaciones del límite de uso y se completan con éxito, permitiendo que una promoción o cupón de un solo uso sea canjeado un número arbitrario de veces. El límite por cliente puede ser eludido de la misma manera por un solo cliente que complete múltiples pedidos concurrentemente. No se requiere autenticación para explotar esta vulnerabilidad. Esto puede llevar a una pérdida financiera directa a través del canje ilimitado de promociones de uso limitado y cupones de descuento. El problema está solucionado en las versiones: 1.9.12, 1.10.16, 1.11.17, 1.12.23, 1.13.15, 1.14.18, 2.0.16, 2.1.12, 2.2.3 y superiores.

Alienbin es un servicio web anónimo para compartir código y texto. En 1.0.0 y anteriores, el endpoint /save en server.js elimina y recrea el índice TTL de MongoDB en toda la colección post para cada nuevo envío de paste. Cuando el Usuario B envía un paste con un TTL corto (por ejemplo, 30 segundos), el índice TTL se recrea con expireAfterSeconds: 30 para todos los documentos de la colección. Esto provoca que el paste del Usuario A (originalmente configurado para 7 días) sea eliminado después de 30 segundos. Un atacante puede eliminar intencionadamente todos los pastes existentes al enviar repetidamente pastes con ttlOption=30s.

pypdf es una biblioteca PDF pura de Python, gratuita y de código abierto. Antes de la 6.8.0, un atacante que explota esta vulnerabilidad puede crear un PDF que provoca un gran consumo de memoria. Esto requiere analizar una secuencia de contenido con un valor /Length bastante grande, independientemente de la longitud real de los datos dentro de la secuencia. Esta vulnerabilidad está corregida en la 6.8.0.

Sylius es un framework de eCommerce de código abierto en Symfony. Los filtros de la API de Sylius ProductPriceOrderFilter y TranslationOrderNameAndLocaleFilter pasan valores de dirección de orden suministrados por el usuario directamente a orderBy() de Doctrine sin validación. Un atacante puede inyectar DQL arbitrario. El problema está solucionado en las versiones: 1.9.12, 1.10.16, 1.11.17, 1.12.23, 1.13.15, 1.14.18, 2.0.16, 2.1.12, 2.2.3 y superiores.

Sylius es un marco de comercio electrónico de código abierto basado en Symfony. Existe una vulnerabilidad de tipo cross-site scripting (XSS) almacenada y autenticada en varios lugares del frontend de la tienda y del panel de administración debido a que los nombres de las entidades no desinfectados se representan como HTML sin procesar. Migas de pan de la tienda (shared/breadcrumbs.html.twig): la macro de migas de pan utiliza el filtro Twig |raw en los valores de las etiquetas. Dado que los nombres de taxones, los nombres de productos y los nombres de antecesores fluyen directamente a estas etiquetas, un nombre de taxón malicioso como se representa y se ejecuta como JavaScript en la tienda. Selector de taxones de productos del administrador (ProductTaxonTreeController.js): El método rowRenderer interpola ${name} directamente en una plantilla literal que crea HTML, lo que permite la inyección de scripts a través de los nombres de taxones en el panel de administración. Campos de autocompletado del administrador (Tom Select): Los elementos y opciones desplegables representan los nombres de las entidades como HTML sin procesar sin escapar, lo que permite XSS a través de cualquier campo de autocompletado que muestre nombres de entidades. Un administrador autenticado puede inyectar HTML o JavaScript arbitrario a través de nombres de entidades (por ejemplo, nombre de taxón) que se representan de forma persistente para todos los usuarios. El problema se ha solucionado en las versiones: 1.9.12, 1.10.16, 1.11.17, 1.12.23, 1.13.15, 1.14.18, 2.0.16, 2.1.12, 2.2.3 y superiores.